Threat Database Malware KamiKakaBot

KamiKakaBot

Засечена е нова вълна от кибератаки, насочени към правителствени и военни организации в страни от Югоизточна Азия. Тези атаки се приписват на групата Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), известна още като Saaiwc. Сред персонализираните инструменти, използвани от Dark Pink, са TelePowerBot и KamiKakaBot, които позволяват на групата да изпълнява произволни команди и да краде чувствителни данни от заразените устройства.

Смята се, че Dark Pink произхожда от Азиатско-тихоокеанския регион и е активен поне от средата на 2021 г. Дейностите му обаче ескалираха през 2022 и 2023 г., както се вижда от неотдавнашните атаки срещу правителствени и военни структури в Югоизточна Азия. Използването на сложен зловреден софтуер като KamiKakaBot подчертава възможностите и решимостта на групата да постигне целите си. Тези атаки представляват сериозна заплаха за националната сигурност и подчертават необходимостта от повишена бдителност и проактивни мерки за намаляване на риска от кибератаки.

Хакерите използват фишинг тактики и примамват документи

Според неотдавнашен доклад на холандската фирма за киберсигурност EclecticIQ, през февруари 2023 г. е открита нова вълна от атаки, които много наподобяват предишни атаки. Въпреки това, имаше една съществена разлика в тази кампания – рутинната процедура за обфускация на злонамерения софтуер беше подобрена, за да се избегне по-добро откриване от мерки срещу злонамерен софтуер.

Атаките следват стратегия за социално инженерство, която включва изпращане на имейл съобщения, съдържащи прикачени файлове с ISO изображения, до нищо неподозиращи цели. ISO файлът с изображение съдържа три компонента: изпълним файл (Winword.exe), зареждащ файл (MSVCR100.dll) и примамлив документ на Microsoft Word. Документът на Word отвлича вниманието, докато товарачът е отговорен за зареждането на зловреден софтуер KamiKakaBot.

За да избегне защитата на сигурността, товарачът използва метода за странично зареждане на DLL, за да зареди KamiKakaBot в паметта на двоичния файл Winword.exe. Този метод позволява на злонамерения софтуер да заобиколи мерките за сигурност, които иначе биха му попречили да се изпълни.

KamiKakaBot може да открадне чувствителна информация от пробитите устройства

KamiKakaBot е злонамерена софтуерна програма, предназначена да прониква в уеб браузъри и да краде чувствителни данни. Този зловреден софтуер също може да изпълнява отдалечен код с помощта на командния ред (cmd.exe). За да избегне откриването, злонамереният софтуер включва сложни техники, за да се слее със средата на жертвата и да избегне откриването.

След като даден хост е компрометиран, злонамереният софтуер установява устойчивост, като злоупотребява с библиотеката Winlogon Helper, за да прави злонамерени модификации на ключа на системния регистър на Windows. Това позволява на злонамерения софтуер да остане незабелязан и да продължи да извършва своите злонамерени дейности. След това откраднатите данни се изпращат до бот на Telegram като ZIP архив.

Според експерти по киберсигурност използването на легитимни уеб услуги като Telegram като сървър за командване и контрол (C2, C&C) е често срещана тактика, използвана от участниците в заплахи. Този подход затруднява откриването и изключването на злонамерения софтуер, тъй като трафикът изглежда като легитимна комуникация с уеб услугата. Тези тактики се използват не само от обикновени киберпрестъпници, но и от напреднали действащи лица с постоянна заплаха.

Като се има предвид нарастващата сложност на тези атаки, за организациите е изключително важно да предприемат проактивни мерки за предотвратяване на кибератаки. Това включва прилагане на стабилни мерки за сигурност за защита срещу зловреден софтуер, поддържане на софтуера актуален и обучение на служителите как да идентифицират и избягват фишинг атаки.

Тенденция

Най-гледан

Зареждане...