Threat Database Malware KamiKakaBot

KamiKakaBot

تم الكشف عن موجة جديدة من الهجمات الإلكترونية تستهدف المنظمات الحكومية والعسكرية في دول جنوب شرق آسيا. تُنسب هذه الهجمات إلى مجموعة التهديد المستمر المتطور (التهديد المستمر المتقدم) ، والمعروفة أيضًا باسم Saaiwc. من بين الأدوات المخصصة التي تستخدمها Dark Pink ، TelePowerBot و KamiKakaBot ، والتي تسمح للمجموعة بتنفيذ أوامر عشوائية وسرقة البيانات الحساسة من الأجهزة المصابة.

يُعتقد أن Dark Pink نشأ من منطقة آسيا والمحيط الهادئ وكان نشطًا منذ منتصف عام 2021 على الأقل. ومع ذلك ، تصاعدت أنشطتها في عامي 2022 و 2023 ، كما يتضح من الهجمات الأخيرة على الكيانات الحكومية والعسكرية في جنوب شرق آسيا. يؤكد استخدام البرامج الضارة المتطورة مثل KamiKakaBot على قدرات المجموعة وتصميمها على تحقيق أهدافها. تشكل هذه الهجمات تهديدًا خطيرًا للأمن القومي وتسلط الضوء على الحاجة إلى زيادة اليقظة والتدابير الاستباقية للتخفيف من مخاطر الهجمات الإلكترونية.

يستخدم المتسللون أساليب التصيد والوثائق الخادعة

وفقًا لتقرير حديث صادر عن شركة الأمن السيبراني الهولندية EclecticIQ ، تم اكتشاف موجة جديدة من الهجمات في فبراير 2023 تشبه إلى حد كبير الهجمات السابقة. ومع ذلك ، كان هناك اختلاف واحد مهم في هذه الحملة - تم تحسين روتين التعتيم على البرامج الضارة لتجنب الاكتشاف بشكل أفضل من خلال تدابير مكافحة البرامج الضارة.

تتبع الهجمات استراتيجية هندسة اجتماعية تتضمن إرسال رسائل بريد إلكتروني تحتوي على مرفقات ملف صورة ISO إلى أهداف غير متوقعة. يحتوي ملف صورة ISO على ثلاثة مكونات: ملف تنفيذي (Winword.exe) ، ومحمل (MSVCR100.dll) ، ومستند مايكروسوفت وورد. يعد مستند Word مصدر إلهاء ، بينما يكون المُحمل مسؤولاً عن تحميل البرامج الضارة KamiKakaBot.

للتهرب من الحماية الأمنية ، يستخدم المُحمل طريقة التحميل الجانبي لـ DLL لتحميل KamiKakaBot في ذاكرة الملف الثنائي Winword.exe. تسمح هذه الطريقة للبرامج الضارة بتجاوز إجراءات الأمان التي قد تمنعها بخلاف ذلك من التنفيذ.

يمكن لـ KamiKakaBot سرقة المعلومات الحساسة من الأجهزة التي تم اختراقها

KamiKakaBot هو برنامج ضار مصمم لاختراق متصفحات الويب وسرقة البيانات الحساسة. هذه البرامج الضارة قادرة أيضًا على تنفيذ التعليمات البرمجية عن بُعد باستخدام موجه الأوامر (cmd.exe). لتجنب الاكتشاف ، تتضمن البرامج الضارة تقنيات متطورة للاندماج مع بيئة الضحية وتجنب الاكتشاف.

بمجرد اختراق المضيف ، تنشئ البرامج الضارة استمرارًا عن طريق إساءة استخدام مكتبة Winlogon Helper لإجراء تعديلات ضارة على مفتاح تسجيل Windows. يسمح هذا للبرامج الضارة بالبقاء غير مكتشفة والاستمرار في تنفيذ أنشطتها الضارة. ثم يتم إرسال البيانات المسروقة إلى روبوت Telegram كأرشيف ZIP.

وفقًا لخبراء الأمن السيبراني ، فإن استخدام خدمات الويب المشروعة مثل Telegram كخادم للقيادة والتحكم (C2 ، C&C) هو تكتيك شائع يستخدمه المهاجمون. يجعل هذا الأسلوب من الصعب اكتشاف البرامج الضارة وإغلاقها ، حيث يبدو أن حركة المرور هي اتصال شرعي مع خدمة الويب. يتم استخدام هذه التكتيكات ليس فقط من قبل مجرمي الإنترنت العاديين ولكن أيضًا من قبل الجهات الفاعلة المتقدمة في مجال التهديد المستمر.

نظرًا للتطور المتزايد لهذه الهجمات ، من الأهمية بمكان أن تتخذ المؤسسات تدابير استباقية لمنع الهجمات الإلكترونية. يتضمن ذلك تنفيذ إجراءات أمنية قوية للحماية من البرامج الضارة ، والحفاظ على البرامج محدثة ، وتثقيف الموظفين حول كيفية التعرف على هجمات التصيد الاحتيالي وتجنبها.

الشائع

الأكثر مشاهدة

جار التحميل...