KamiKakaBot
Ένα νέο κύμα επιθέσεων στον κυβερνοχώρο έχει εντοπιστεί, με στόχο κυβερνητικούς και στρατιωτικούς οργανισμούς σε χώρες της Νοτιοανατολικής Ασίας. Αυτές οι επιθέσεις αποδίδονται στην ομάδα Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), γνωστή και ως Saaiwc. Μεταξύ των προσαρμοσμένων εργαλείων που χρησιμοποιεί το Dark Pink είναι τα TelePowerBot και KamiKakaBot, τα οποία επιτρέπουν στην ομάδα να εκτελεί αυθαίρετες εντολές και να κλέβει ευαίσθητα δεδομένα από τις μολυσμένες συσκευές.
Το Dark Pink πιστεύεται ότι προέρχεται από την περιοχή Ασίας-Ειρηνικού και δραστηριοποιείται τουλάχιστον από τα μέσα του 2021. Ωστόσο, οι δραστηριότητές της κλιμακώθηκαν το 2022 και το 2023, όπως αποδεικνύεται από τις πρόσφατες επιθέσεις σε κυβερνητικές και στρατιωτικές οντότητες στη Νοτιοανατολική Ασία. Η χρήση εξελιγμένου κακόβουλου λογισμικού όπως το KamiKakaBot υπογραμμίζει τις δυνατότητες και την αποφασιστικότητα της ομάδας να επιτύχει τους στόχους της. Αυτές οι επιθέσεις αποτελούν σοβαρή απειλή για την εθνική ασφάλεια και υπογραμμίζουν την ανάγκη για αυξημένη επαγρύπνηση και προληπτικά μέτρα για τον μετριασμό του κινδύνου κυβερνοεπιθέσεων.
Οι χάκερ χρησιμοποιούν τακτικές phishing και έγγραφα παραπλάνησης
Σύμφωνα με μια πρόσφατη έκθεση της ολλανδικής εταιρείας κυβερνοασφάλειας EclecticIQ, ένα νέο κύμα επιθέσεων ανακαλύφθηκε τον Φεβρουάριο του 2023 που έμοιαζε πολύ με προηγούμενες επιθέσεις. Ωστόσο, υπήρχε μια σημαντική διαφορά σε αυτήν την καμπάνια - η ρουτίνα συσκότισης του κακόβουλου λογισμικού βελτιώθηκε για να αποφευχθεί καλύτερα ο εντοπισμός με μέτρα κατά του κακόβουλου λογισμικού.
Οι επιθέσεις ακολουθούν μια στρατηγική κοινωνικής μηχανικής που περιλαμβάνει την αποστολή μηνυμάτων email που περιέχουν συνημμένα αρχεία εικόνας ISO σε ανυποψίαστους στόχους. Το αρχείο εικόνας ISO περιέχει τρία στοιχεία: ένα εκτελέσιμο (Winword.exe), ένα πρόγραμμα φόρτωσης (MSVCR100.dll) και ένα παραπλανητικό έγγραφο του Microsoft Word. Το έγγραφο του Word αποσπά την προσοχή, ενώ το πρόγραμμα φόρτωσης είναι υπεύθυνο για τη φόρτωση του κακόβουλου λογισμικού KamiKakaBot.
Για να αποφύγει τις προστασίες ασφαλείας, το πρόγραμμα φόρτωσης χρησιμοποιεί τη μέθοδο πλευρικής φόρτωσης DLL για να φορτώσει το KamiKakaBot στη μνήμη του δυαδικού αρχείου Winword.exe. Αυτή η μέθοδος επιτρέπει στο κακόβουλο λογισμικό να παρακάμψει μέτρα ασφαλείας που διαφορετικά θα εμπόδιζαν την εκτέλεσή του.
Το KamiKakaBot μπορεί να κλέψει ευαίσθητες πληροφορίες από τις παραβιασμένες συσκευές
Το KamiKakaBot είναι ένα κακόβουλο πρόγραμμα λογισμικού που έχει σχεδιαστεί για να διεισδύει σε προγράμματα περιήγησης ιστού και να κλέβει ευαίσθητα δεδομένα. Αυτό το κακόβουλο λογισμικό είναι επίσης ικανό να εκτελεί απομακρυσμένο κώδικα χρησιμοποιώντας τη γραμμή εντολών (cmd.exe). Για να αποφύγει τον εντοπισμό, το κακόβουλο λογισμικό ενσωματώνει εξελιγμένες τεχνικές για να εναρμονιστεί με το περιβάλλον του θύματος και να αποφύγει τον εντοπισμό.
Μόλις παραβιαστεί ένας κεντρικός υπολογιστής, το κακόβουλο λογισμικό αποκαθιστά την επιμονή με κατάχρηση της βιβλιοθήκης Βοήθειας Winlogon για να κάνει κακόβουλες τροποποιήσεις στο κλειδί μητρώου των Windows. Αυτό επιτρέπει στο κακόβουλο λογισμικό να παραμείνει απαρατήρητο και να συνεχίσει να εκτελεί τις κακόβουλες δραστηριότητές του. Τα κλεμμένα δεδομένα αποστέλλονται στη συνέχεια σε ένα bot Telegram ως αρχείο ZIP.
Σύμφωνα με ειδικούς στον τομέα της κυβερνοασφάλειας, η χρήση νόμιμων διαδικτυακών υπηρεσιών όπως το Telegram ως διακομιστής Command-and-Control (C2, C&C) είναι μια κοινή τακτική που χρησιμοποιείται από τους παράγοντες απειλών. Αυτή η προσέγγιση καθιστά πιο δύσκολο τον εντοπισμό και τον τερματισμό του κακόβουλου λογισμικού, καθώς η κίνηση φαίνεται να είναι νόμιμη επικοινωνία με την υπηρεσία Ιστού. Αυτές οι τακτικές χρησιμοποιούνται όχι μόνο από τακτικούς εγκληματίες στον κυβερνοχώρο αλλά και από προηγμένους παράγοντες επίμονης απειλής.
Δεδομένης της αυξανόμενης πολυπλοκότητας αυτών των επιθέσεων, είναι ζωτικής σημασίας για τους οργανισμούς να λαμβάνουν προληπτικά μέτρα για την πρόληψη των επιθέσεων στον κυβερνοχώρο. Αυτό περιλαμβάνει την εφαρμογή ισχυρών μέτρων ασφαλείας για την προστασία από κακόβουλο λογισμικό, τη διατήρηση του λογισμικού ενημερωμένο και την εκπαίδευση των εργαζομένων σχετικά με τον τρόπο αναγνώρισης και αποφυγής επιθέσεων phishing.
