KamiKakaBot

Byla odhalena nová vlna kybernetických útoků zaměřených na vládní a vojenské organizace v zemích jihovýchodní Asie. Tyto útoky jsou připisovány skupině Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), známé také jako Saaiwc. Mezi vlastní nástroje používané Dark Pink patří TelePowerBot a KamiKakaBot, které skupině umožňují provádět libovolné příkazy a krást citlivá data z infikovaných zařízení.

Předpokládá se, že tmavě růžová pochází z asijsko-pacifické oblasti a je aktivní minimálně od poloviny roku 2021. Její aktivity však v letech 2022 a 2023 eskalovaly, jak dokládají nedávné útoky na vládní a vojenské subjekty v jihovýchodní Asii. Použití sofistikovaného malwaru, jako je KamiKakaBot, podtrhuje schopnosti a odhodlání skupiny dosáhnout svých cílů. Tyto útoky představují vážnou hrozbu pro národní bezpečnost a zdůrazňují potřebu zvýšené ostražitosti a proaktivních opatření ke zmírnění rizika kybernetických útoků.

Hackeři používají taktiku phishingu a klamné dokumenty

Podle nedávné zprávy nizozemské firmy EclecticIQ pro kybernetickou bezpečnost byla v únoru 2023 objevena nová vlna útoků, která se velmi podobala předchozím útokům. V této kampani však byl jeden významný rozdíl – byla vylepšena obfuskační rutina malwaru, aby se lépe zabránilo detekci pomocí opatření proti malwaru.

Útoky se řídí strategií sociálního inženýrství, která zahrnuje zasílání e-mailových zpráv obsahujících přílohy obrazových souborů ISO nic netušícím cílům. Soubor obrazu ISO obsahuje tři součásti: spustitelný soubor (Winword.exe), zavaděč (MSVCR100.dll) a návnadu dokumentu Microsoft Word. Dokument aplikace Word odvádí pozornost, zatímco zavaděč je zodpovědný za načtení malwaru KamiKakaBot.

Aby se vyhnul bezpečnostním ochranám, zavaděč používá metodu bočního načítání DLL k načtení KamiKakaBot do paměti binárního souboru Winword.exe. Tato metoda umožňuje malwaru obejít bezpečnostní opatření, která by jinak zabránila jeho spuštění.

KamiKakaBot dokáže ukrást citlivé informace z narušených zařízení

KamiKakaBot je škodlivý softwarový program určený k infiltraci webových prohlížečů a krádeži citlivých dat. Tento malware je také schopen spustit vzdálený kód pomocí příkazového řádku (cmd.exe). Aby se vyhnul detekci, malware obsahuje sofistikované techniky, které splynou s prostředím oběti a zabrání detekci.

Jakmile je hostitel kompromitován, malware nastolí perzistenci zneužitím knihovny Winlogon Helper k provedení škodlivých úprav klíče registru Windows. To umožňuje malwaru zůstat nezjištěný a pokračovat v provádění škodlivých činností. Ukradená data jsou poté odeslána robotovi Telegram jako archiv ZIP.

Podle odborníků na kybernetickou bezpečnost je používání legitimních webových služeb, jako je Telegram, jako serveru pro příkazy a řízení (C2, C&C) běžnou taktikou, kterou používají aktéři hrozeb. Tento přístup ztěžuje detekci a vypnutí malwaru, protože provoz se zdá být legitimní komunikací s webovou službou. Tyto taktiky používají nejen běžní kyberzločinci, ale také pokročilí aktéři přetrvávajících hrozeb.

Vzhledem k rostoucí sofistikovanosti těchto útoků je pro organizace zásadní přijmout proaktivní opatření k prevenci kybernetických útoků. To zahrnuje implementaci robustních bezpečnostních opatření na ochranu před malwarem, udržování softwaru v aktuálním stavu a vzdělávání zaměstnanců v tom, jak identifikovat phishingové útoky a jak se jim vyhnout.