تخفیف چند مجوز
Threat Database Malware KamiKakaBot

KamiKakaBot

تا Mezo در Malware, Advanced Persistent Threat (APT), Stealers
ترجمه به:
فارسی

موج جدیدی از حملات سایبری شناسایی شده است که سازمان های دولتی و نظامی را در کشورهای جنوب شرقی آسیا هدف قرار داده است. این حملات به گروه Dark Pink APTAdvanced Persistent Threat (تهدید پایدار پیشرفته) که با نام Saaiwc نیز شناخته می شود نسبت داده می شود. از جمله ابزارهای سفارشی استفاده شده توسط Dark Pink می توان به TelePowerBot و KamiKakaBot اشاره کرد که به گروه اجازه می دهد دستورات دلخواه را اجرا کند و داده های حساس را از دستگاه های آلوده سرقت کند.

اعتقاد بر این است که صورتی تیره از منطقه آسیا و اقیانوسیه سرچشمه می گیرد و حداقل از اواسط سال 2021 فعال بوده است. با این حال، فعالیت های آن در سال های 2022 و 2023 تشدید شد، همانطور که حملات اخیر به نهادهای دولتی و نظامی در جنوب شرقی آسیا نشان می دهد. استفاده از بدافزارهای پیچیده ای مانند KamiKakaBot بر توانایی ها و عزم گروه برای دستیابی به اهداف خود تأکید می کند. این حملات تهدیدی جدی برای امنیت ملی است و نیاز به افزایش هوشیاری و اقدامات پیشگیرانه برای کاهش خطر حملات سایبری را برجسته می کند.

هکرها از تاکتیک های فیشینگ و اسناد فریب استفاده می کنند

طبق گزارش اخیر شرکت امنیت سایبری هلندی EclecticIQ، موج جدیدی از حملات در فوریه 2023 کشف شد که شباهت زیادی به حملات قبلی داشت. با این حال، یک تفاوت قابل توجه در این کمپین وجود داشت - روال مبهم سازی بدافزار برای جلوگیری از شناسایی بهتر توسط اقدامات ضد بدافزار بهبود یافته بود.

این حملات از یک استراتژی مهندسی اجتماعی پیروی می‌کنند که شامل ارسال پیام‌های ایمیل حاوی پیوست‌های فایل تصویری ISO به اهداف نامشخص است. فایل تصویر ISO شامل سه جزء است: یک فایل اجرایی (Winword.exe)، یک لودر (MSVCR100.dll)، و یک سند فریبنده مایکروسافت ورد. سند Word یک عامل حواس پرتی است، در حالی که لودر مسئول بارگیری بدافزار KamiKakaBot است.

برای فرار از محافظت های امنیتی، لودر از روش بارگذاری جانبی DLL برای بارگیری KamiKakaBot در حافظه باینری Winword.exe استفاده می کند. این روش به بدافزار اجازه می دهد تا اقدامات امنیتی را دور بزند که در غیر این صورت از اجرای آن جلوگیری می کند.

KamiKakaBot می تواند اطلاعات حساس را از دستگاه های شکسته سرقت کند

KamiKakaBot یک برنامه نرم افزاری مخرب است که برای نفوذ به مرورگرهای وب و سرقت داده های حساس طراحی شده است. این بدافزار همچنین قادر به اجرای کد از راه دور با استفاده از Command Prompt (cmd.exe) است. برای فرار از شناسایی، این بدافزار تکنیک های پیچیده ای را برای تلفیق با محیط قربانی و جلوگیری از شناسایی ترکیب می کند.

هنگامی که یک میزبان در معرض خطر قرار می گیرد، بدافزار با سوء استفاده از کتابخانه Helper Winlogon برای ایجاد تغییرات مخرب در کلید رجیستری ویندوز، پایداری را ایجاد می کند. این به بدافزار اجازه می دهد تا شناسایی نشده باقی بماند و به انجام فعالیت های مخرب خود ادامه دهد. سپس داده های دزدیده شده به عنوان آرشیو ZIP به ربات تلگرام ارسال می شود.

به گفته کارشناسان امنیت سایبری، استفاده از سرویس های وب قانونی مانند تلگرام به عنوان سرور فرماندهی و کنترل (C2, C&C) تاکتیک رایجی است که توسط عوامل تهدید استفاده می شود. این رویکرد شناسایی و خاموش کردن بدافزار را دشوارتر می کند، زیرا به نظر می رسد ترافیک ارتباط قانونی با وب سرویس باشد. این تاکتیک‌ها نه تنها توسط مجرمان سایبری معمولی، بلکه توسط عوامل تهدید مداوم پیشرفته نیز به کار گرفته می‌شوند.

با توجه به پیچیدگی روزافزون این حملات، برای سازمان‌ها بسیار مهم است که اقدامات پیشگیرانه برای جلوگیری از حملات سایبری انجام دهند. این شامل اجرای اقدامات امنیتی قوی برای محافظت در برابر بدافزار، به روز نگه داشتن نرم افزار و آموزش کارکنان در مورد نحوه شناسایی و جلوگیری از حملات فیشینگ است.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,882
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...