Phân tích Chiến dịch Malware của Coquettte

06/04/2025
2 mins read

Chiến dịch Malware của Coquettte

  1. Sử dụng Hosting Bảo mật (BPH):

    Coquettte đã được quan sát sử dụng dịch vụ của một nhà cung cấp BPH của Nga có tên là Proton66 để hỗ trợ các hoạt động của mình.

  2. Trang web giả mạo:

    Một trang web giả mạo có tên cybersecureprotect[.]com đã được lưu trữ trên Proton66, giả làm dịch vụ antivirus. Tên miền này đã được phát hiện bởi DomainTools, xác định một sự cố an ninh hoạt động (OPSEC) đã tiết lộ cơ sở hạ tầng độc hại.

  3. Phát tán Malware:

    Nhà đe dọa đã phân phối malware dưới hình thức các công cụ antivirus hợp pháp. Malware xuất hiện dưới dạng một tệp ZIP (“CyberSecure Pro.zip”) chứa một trình cài đặt Windows, tải xuống malware giai đoạn thứ hai từ một máy chủ xa chịu trách nhiệm cung cấp thông tin thứ hai từ một máy chủ chỉ huy và kiểm soát (C2) (“cia[.]tf”).

  4. Malware Giai đoạn Thứ Hai:

    Malware giai đoạn thứ hai được phân loại là Rugmi (còn gọi là Penguish), đã được sử dụng trong quá khứ để triển khai các công cụ lấy cắp thông tin như Lumma, Vidar, và Raccoon.

  5. Kiểm soát Máy chủ C2:

    Phân tích sâu hơn cho thấy rằng tên miền cia[.]tf đã được đăng ký với địa chỉ email “root@coquettte[.]com,” xác nhận rằng Coquettte đã kiểm soát máy chủ C2 và vận hành trang web an ninh mạng giả như một trung tâm phân phối malware.

  6. Các Lỗi Nghiệp dư:

    DomainTools ghi nhận rằng các nỗ lực tội phạm mạng của Coquettte bao gồm những sai lầm nghiệp dư, chẳng hạn như một thư mục mở, điều này gợi ý rằng Coquettte là một cá nhân trẻ tuổi, có thể là sinh viên.

  7. Mối liên hệ với Nhóm Hacker Rộng lớn hơn:

    Coquettte được cho là có liên hệ lỏng lẻo với một nhóm hacker lớn hơn có tên là Horrid. Mẫu hình hạ tầng chồng chéo cho thấy rằng các cá nhân đứng sau các trang web này có thể tự gọi mình là ‘Horrid,’ với Coquettte là bí danh của một trong những thành viên thay vì một diễn viên đơn lẻ.

  8. Các Hoạt Động Bất Hợp Pháp:

    Coquettte cũng đã điều hành các trang web khác bán hướng dẫn sản xuất các chất bất hợp pháp và vũ khí, cho thấy một sự tham gia rộng hơn vào các hoạt động bất hợp pháp.

Ý Nghĩa Thực Tiễn

  1. Thực hành Tốt về OPSEC:

    Sự cố đã nhấn mạnh tầm quan trọng của các thực hành an ninh hoạt động tốt, chẳng hạn như đảm bảo rằng tất cả các tên miền và máy chủ được bảo vệ đúng cách và không tiết lộ thông tin nhạy cảm.

  2. Thông tin về Mối đe dọa:

    Sử dụng các công ty thông tin về mối đe dọa như DomainTools là rất quan trọng trong việc phát hiện và phơi bày những hoạt động độc hại như vậy, giúp giảm thiểu rủi ro liên quan đến các dịch vụ lưu trữ bảo mật.

  3. Sự Nhận thức của Người dùng:

    Người dùng nên cẩn thận khi tải xuống phần mềm từ các nguồn không đáng tin cậy và tránh nhấp vào các liên kết nghi ngờ hoặc tải xuống các tệp đính kèm từ người gửi không xác định.

  4. Cập nhật và Vá lỗi Thường xuyên:

    Giữ phần mềm luôn được cập nhật với các bản vá bảo mật mới nhất có thể giúp ngăn chặn việc khai thác các lỗ hổng đã biết.