KamiKakaBot

Kaakkois-Aasian maissa on havaittu uusi kyberhyökkäysten aalto, joka kohdistuu hallitus- ja sotilasjärjestöihin. Nämä hyökkäykset johtuvat Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat) -ryhmästä, joka tunnetaan myös nimellä Saaiwc. Dark Pinkin käyttämiä mukautettuja työkaluja ovat TelePowerBot ja KamiKakaBot, joiden avulla ryhmä voi suorittaa mielivaltaisia komentoja ja varastaa arkaluonteisia tietoja tartunnan saaneilta laitteilta.

Dark Pinkin uskotaan olevan peräisin Aasian ja Tyynenmeren alueelta, ja se on ollut aktiivinen ainakin vuoden 2021 puolivälistä lähtien. Sen toiminta kuitenkin kiihtyi vuosina 2022 ja 2023, mistä ovat osoituksena viimeaikaiset hyökkäykset Kaakkois-Aasian hallitusta ja sotilasyksiköitä vastaan. Kehittyneiden haittaohjelmien, kuten KamiKakaBotin, käyttö korostaa ryhmän kykyjä ja päättäväisyyttä saavuttaa tavoitteensa. Nämä hyökkäykset muodostavat vakavan uhan kansalliselle turvallisuudelle ja korostavat tarvetta lisätä valppautta ja ennakoivia toimia kyberhyökkäysten riskin vähentämiseksi.

Hakkerit käyttävät tietojenkalastelutaktiikkaa ja houkutusasiakirjoja

Hollantilaisen kyberturvallisuusyrityksen EclecticIQ:n tuoreen raportin mukaan helmikuussa 2023 löydettiin uusi hyökkäysaalto, joka muistutti läheisesti aikaisempia hyökkäyksiä. Tässä kampanjassa oli kuitenkin yksi merkittävä ero - haittaohjelmien hämärtymisrutiinia parannettiin, jotta haittaohjelmien torjuntatoimenpiteiden havaitseminen vältyisi paremmin.

Hyökkäykset noudattavat sosiaalista suunnittelustrategiaa, joka sisältää ISO-kuvatiedostoliitteitä sisältävien sähköpostiviestien lähettämisen pahaa-aavistamattomille kohteille. ISO-kuvatiedosto sisältää kolme osaa: suoritettavan tiedoston (Winword.exe), latausohjelman (MSVCR100.dll) ja houkuttelevan Microsoft Word -asiakirjan. Word-asiakirja on häiriötekijä, kun taas lataaja on vastuussa KamiKakaBot-haittaohjelman lataamisesta.

Suojauksen välttämiseksi lataaja käyttää DLL-sivulatausmenetelmää KamiKakaBotin lataamiseen Winword.exe-binaarin muistiin. Tämän menetelmän avulla haittaohjelmat voivat ohittaa suojatoimenpiteet, jotka muuten estäisivät sen suorittamisen.

KamiKakaBot voi varastaa arkaluonteisia tietoja rikkoutuneilta laitteilta

KamiKakaBot on haittaohjelma, joka on suunniteltu tunkeutumaan verkkoselaimiin ja varastamaan arkaluonteisia tietoja. Tämä haittaohjelma pystyy myös suorittamaan etäkoodia komentokehotteen (cmd.exe) avulla. Välttääkseen havaitsemisen haittaohjelmat sisältävät kehittyneitä tekniikoita sulautuakseen uhrin ympäristöön ja välttääkseen havaitsemisen.

Kun isäntä on vaarantunut, haittaohjelma varmistaa pysyvyyden käyttämällä väärin Winlogon Helper -kirjastoa tehdäkseen haitallisia muutoksia Windowsin rekisteriavaimeen. Näin haittaohjelmat voivat pysyä havaitsematta ja jatkaa haitallisten toimintojensa suorittamista. Varastetut tiedot lähetetään sitten Telegram-botille ZIP-arkistona.

Kyberturvallisuusasiantuntijoiden mukaan laillisten verkkopalveluiden, kuten Telegramin, käyttö Command-and-Control (C2, C&C) -palvelimena on yleinen uhkatekijöiden käyttämä taktiikka. Tämä lähestymistapa vaikeuttaa haittaohjelman havaitsemista ja sulkemista, koska liikenne näyttää olevan laillista viestintää verkkopalvelun kanssa. Näitä taktiikoita käyttävät paitsi tavalliset kyberrikolliset myös edistyneet jatkuvat uhkatoimijat.

Koska nämä hyökkäykset kehittyvät jatkuvasti, organisaatioiden on tärkeää ryhtyä ennakoiviin toimiin kyberhyökkäysten estämiseksi. Tämä sisältää vankkojen suojaustoimenpiteiden toteuttamisen haittaohjelmilta suojaamiseksi, ohjelmistojen pitämisen ajan tasalla ja työntekijöiden kouluttamista tietojenkalasteluhyökkäysten tunnistamiseen ja välttämiseen.