KamiKakaBot

En ny bølge af cyberangreb er blevet opdaget, rettet mod regering og militære organisationer i sydøstasiatiske lande. Disse angreb tilskrives gruppen Dark Pink APTAadvanced Persistent Threat (Advanced Persistent Threat), også kendt som Saaiwc. Blandt de brugerdefinerede værktøjer, der bruges af Dark Pink, er TelePowerBot og KamiKakaBot, som giver gruppen mulighed for at udføre vilkårlige kommandoer og stjæle følsomme data fra de inficerede enheder.

Dark Pink menes at stamme fra Asien-Stillehavsområdet og har været aktiv siden mindst midten af 2021. Dets aktiviteter eskalerede dog i 2022 og 2023, som det fremgår af de seneste angreb på regeringer og militære enheder i Sydøstasien. Brugen af sofistikeret malware såsom KamiKakaBot understreger gruppens evner og vilje til at nå sine mål. Disse angreb udgør en alvorlig trussel mod den nationale sikkerhed og fremhæver behovet for øget årvågenhed og proaktive foranstaltninger for at mindske risikoen for cyberangreb.

Hackerne bruger phishing-taktik og lokkedokumenter

Ifølge en nylig rapport fra det hollandske cybersikkerhedsfirma EclecticIQ blev der opdaget en ny bølge af angreb i februar 2023, der lignede tidligere angreb. Der var dog én væsentlig forskel i denne kampagne – malwarens sløringsrutine blev forbedret for bedre at undgå opdagelse ved hjælp af anti-malware-foranstaltninger.

Angrebene følger en social engineering-strategi, der involverer at sende e-mail-beskeder indeholdende ISO-billedfil vedhæftede filer til intetanende mål. ISO-billedfilen indeholder tre komponenter: en eksekverbar (Winword.exe), en indlæser (MSVCR100.dll) og et Microsoft Word-dokument. Word-dokumentet er en distraktion, mens indlæseren er ansvarlig for at indlæse KamiKakaBot-malwaren.

For at undgå sikkerhedsbeskyttelse, bruger indlæseren DLL-sideindlæsningsmetoden til at indlæse KamiKakaBot i hukommelsen på Winword.exe-binæren. Denne metode tillader malwaren at omgå sikkerhedsforanstaltninger, der ellers ville forhindre den i at udføre.

KamiKakaBot kan stjæle følsomme oplysninger fra de brudte enheder

KamiKakaBot er et ondsindet softwareprogram designet til at infiltrere webbrowsere og stjæle følsomme data. Denne malware er også i stand til at udføre fjernkode ved hjælp af kommandoprompt (cmd.exe). For at undgå opdagelse inkorporerer malwaren sofistikerede teknikker til at blande sig med ofrets miljø og undgå opdagelse.

Når først en vært er kompromitteret, etablerer malwaren persistens ved at misbruge Winlogon Helper-biblioteket til at foretage ondsindede ændringer af Windows registreringsdatabasenøglen. Dette gør det muligt for malwaren at forblive uopdaget og fortsætte med at udføre sine ondsindede aktiviteter. De stjålne data sendes derefter til en Telegram-bot som et ZIP-arkiv.

Ifølge cybersikkerhedseksperter er brugen af legitime webtjenester såsom Telegram som en Command-and-Control-server (C2, C&C) en almindelig taktik, der bruges af trusselsaktører. Denne tilgang gør det sværere at opdage og lukke malwaren ned, da trafikken ser ud til at være legitim kommunikation med webtjenesten. Disse taktikker anvendes ikke kun af almindelige cyberkriminelle, men også af avancerede vedvarende trusselsaktører.

I betragtning af den stigende sofistikering af disse angreb er det afgørende for organisationer at træffe proaktive foranstaltninger for at forhindre cyberangreb. Dette omfatter implementering af robuste sikkerhedsforanstaltninger for at beskytte mod malware, holde software opdateret og uddanne medarbejdere i, hvordan man identificerer og undgår phishing-angreb.