KamiKakaBot

Avastatud on uus küberrünnakute laine, mis on suunatud Kagu-Aasia riikide valitsus- ja sõjaväeorganisatsioonidele. Need rünnakud on omistatud rühmale Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), tuntud ka kui Saaiwc. Dark Pinki kasutatavate kohandatud tööriistade hulgas on TelePowerBot ja KamiKakaBot, mis võimaldavad rühmal täita suvalisi käske ja varastada nakatunud seadmetest tundlikke andmeid.

Arvatakse, et tumeroosa pärineb Aasia ja Vaikse ookeani piirkonnast ning on tegutsenud vähemalt 2021. aasta keskpaigast. Selle tegevus aga eskaleerus aastatel 2022 ja 2023, mida tõendavad hiljutised rünnakud valitsus- ja sõjaväeüksuste vastu Kagu-Aasias. Keeruka pahavara, nagu KamiKakaBot, kasutamine rõhutab grupi võimeid ja sihikindlust oma eesmärkide saavutamiseks. Need rünnakud kujutavad endast tõsist ohtu riigi julgeolekule ja rõhutavad vajadust kõrgendatud valvsuse ja ennetavate meetmete järele küberrünnakute riski maandamiseks.

Häkkerid kasutavad andmepüügitaktikat ja peibutavad dokumente

Hollandi küberjulgeolekufirma EclecticIQ hiljutise raporti kohaselt avastati 2023. aasta veebruaris uus rünnakute laine, mis sarnanes väga eelmiste rünnakutega. Sellel kampaanial oli aga üks oluline erinevus – pahavara hägustamise rutiini täiustati, et paremini vältida pahavaravastaste meetmete tuvastamist.

Rünnakud järgivad sotsiaalse manipuleerimise strateegiat, mis hõlmab ISO-pildifaili manuseid sisaldavate meilisõnumite saatmist pahaaimamatutele sihtmärkidele. ISO-pildifail sisaldab kolme komponenti: käivitatav (Winword.exe), laadija (MSVCR100.dll) ja peibutus Microsoft Wordi dokument. Wordi dokument häirib tähelepanu, samal ajal kui laadija vastutab KamiKakaBoti pahavara laadimise eest.

Turvakaitsetest kõrvalehoidmiseks kasutab laadija DLL-i külglaadimise meetodit, et laadida KamiKakaBot binaarfaili Winword.exe mällu. See meetod võimaldab pahavaral turvameetmetest mööda minna, mis muidu takistaksid selle käivitamist.

KamiKakaBot võib varastada rikutud seadmetest tundlikku teavet

KamiKakaBot on pahatahtlik tarkvara, mis on loodud veebibrauseritesse imbumiseks ja tundlike andmete varastamiseks. See pahavara on võimeline käivitama ka kaugkoodi käsuviiba (cmd.exe) abil. Tuvastamisest kõrvalehoidmiseks sisaldab pahavara keerukaid tehnikaid, et sulanduda ohvri keskkonda ja vältida avastamist.

Kui host on ohustatud, loob pahavara püsivuse, kuritarvitades Winlogon Helperi teeki, et teha Windowsi registrivõtmes pahatahtlikke muudatusi. See võimaldab pahavaral jääda märkamatuks ja jätkata oma pahatahtlikku tegevust. Varastatud andmed saadetakse seejärel ZIP-arhiivina Telegrami robotisse.

Küberjulgeolekuekspertide sõnul on legitiimsete veebiteenuste, nagu Telegram, kasutamine Command-and-Control (C2, C&C) serverina ohus osalejate levinud taktika. Selline lähenemine muudab pahavara tuvastamise ja sulgemise keerulisemaks, kuna liiklus näib olevat legitiimne suhtlus veebiteenusega. Seda taktikat ei kasuta mitte ainult tavalised küberkurjategijad, vaid ka edasijõudnud püsivad ohustajad.

Arvestades nende rünnakute keerukust, on organisatsioonide jaoks ülioluline võtta ennetavaid meetmeid küberrünnakute ärahoidmiseks. See hõlmab tugevate turvameetmete rakendamist pahavara eest kaitsmiseks, tarkvara ajakohasena hoidmist ja töötajate koolitamist andmepüügirünnakute tuvastamise ja vältimise kohta.