KamiKakaBot
זוהה גל חדש של מתקפות סייבר, המכוונות לארגונים ממשלתיים וצבאיים במדינות דרום מזרח אסיה. התקפות אלו מיוחסות לקבוצת APTAadvanced Persistent Threat (Advanced Persistent Threat) בצבע ורוד כהה, הידועה גם בשם Saaiwc. בין הכלים המותאמים אישית שבהם משתמש Dark Pink נמצאים TelePowerBot ו-KamiKakaBot, המאפשרים לקבוצה לבצע פקודות שרירותיות ולגנוב נתונים רגישים מהמכשירים הנגועים.
מאמינים שמקורו של ורוד כהה מאזור אסיה-פסיפיק והוא פעיל לפחות מאמצע 2021. עם זאת, פעילותה הסלימה בשנים 2022 ו-2023, כפי שמעידות ההתקפות האחרונות על גופים ממשלתיים וצבאיים בדרום מזרח אסיה. השימוש בתוכנות זדוניות מתוחכמות כמו KamiKakaBot מדגיש את יכולות הקבוצה ואת הנחישות להשיג את מטרותיה. התקפות אלו מהוות איום רציני על הביטחון הלאומי ומדגישות את הצורך בערנות מוגברת ובצעדים יזומים כדי להפחית את הסיכון להתקפות סייבר.
ההאקרים משתמשים בטקטיקות דיוג ומסמכים מטעים
על פי דיווח אחרון של חברת אבטחת הסייבר ההולנדית EclecticIQ, גל חדש של התקפות התגלה בפברואר 2023 שדמה מאוד להתקפות קודמות. עם זאת, היה הבדל אחד משמעותי במסע פרסום זה - שגרת הערפול של התוכנה הזדונית שופרה כדי להימנע טוב יותר מזיהוי באמצעות אמצעים נגד תוכנות זדוניות.
ההתקפות עוקבות אחר אסטרטגיית הנדסה חברתית הכוללת שליחת הודעות דואר אלקטרוני המכילות קבצי תמונה מצורפים של ISO למטרות תמימות. קובץ תמונת ה-ISO מכיל שלושה רכיבים: קובץ הפעלה (Winword.exe), מטעין (MSVCR100.dll) ומסמך מטעה של Microsoft Word. מסמך ה-Word הוא הסחת דעת, בעוד שהמטעין אחראי לטעינת התוכנה הזדונית KamiKakaBot.
כדי להתחמק מהגנות אבטחה, הטוען משתמש בשיטת הטעינה הצידית של DLL כדי לטעון את KamiKakaBot לזיכרון של הקובץ הבינארי Winword.exe. שיטה זו מאפשרת לתוכנה הזדונית לעקוף אמצעי אבטחה שאחרת ימנעו ממנה את ביצועה.
KamiKakaBot יכול לגנוב מידע רגיש מהמכשירים שנפרצו
KamiKakaBot היא תוכנה זדונית שנועדה לחדור לדפדפני אינטרנט ולגנוב נתונים רגישים. תוכנה זדונית זו מסוגלת גם להפעיל קוד מרחוק באמצעות שורת הפקודה (cmd.exe). כדי להתחמק מגילוי, התוכנה הזדונית משלבת טכניקות מתוחכמות להתמזגות עם הסביבה של הקורבן ולהימנע מגילוי.
ברגע שהמארח נפגע, התוכנה הזדונית מייצרת התמדה על ידי שימוש לרעה בספריית Winlogon Helper כדי לבצע שינויים זדוניים במפתח הרישום של Windows. זה מאפשר לתוכנה הזדונית להישאר ללא זיהוי ולהמשיך לבצע את הפעילויות הזדוניות שלה. הנתונים הגנובים נשלחים לבוט של טלגרם כארכיון ZIP.
לדברי מומחי אבטחת סייבר, השימוש בשירותי אינטרנט לגיטימיים כגון טלגרם כשרת פיקוד ושליטה (C2, C&C) הוא טקטיקה נפוצה בה משתמשים גורמי איומים. גישה זו מקשה על זיהוי וסגירת התוכנה הזדונית, מכיוון שהתנועה נראית כתקשורת לגיטימית עם שירות האינטרנט. טקטיקות אלו מופעלות לא רק על ידי פושעי סייבר רגילים אלא גם על ידי גורמי איום מתקדמים מתקדמים.
לאור התחכום ההולך וגובר של התקפות אלו, חיוני לארגונים לנקוט באמצעים יזומים למניעת התקפות סייבר. זה כולל הטמעת אמצעי אבטחה חזקים להגנה מפני תוכנות זדוניות, שמירה על עדכניות התוכנה וחינוך עובדים כיצד לזהות ולהימנע מתקפות דיוג.
