KamiKakaBot

Otkriven je novi val kibernetičkih napada usmjerenih na vladine i vojne organizacije u zemljama jugoistočne Azije. Ovi napadi pripisuju se tamnoružičastoj grupi APTAdvanced Persistent Threat (Advanced Persistent Threat), također poznatoj kao Saaiwc. Među prilagođenim alatima koje koristi Dark Pink su TelePowerBot i KamiKakaBot, koji omogućuju grupi izvršavanje proizvoljnih naredbi i krađu osjetljivih podataka sa zaraženih uređaja.

Vjeruje se da tamnoružičasta potječe iz azijsko-pacifičke regije i aktivna je najmanje od sredine 2021. Međutim, njegove su aktivnosti eskalirale 2022. i 2023., što potvrđuju nedavni napadi na vladine i vojne entitete u jugoistočnoj Aziji. Korištenje sofisticiranog zlonamjernog softvera kao što je KamiKakaBot naglašava sposobnosti i odlučnost grupe da postigne svoje ciljeve. Ovi napadi predstavljaju ozbiljnu prijetnju nacionalnoj sigurnosti i naglašavaju potrebu za povećanim oprezom i proaktivnim mjerama za ublažavanje rizika od kibernetičkih napada.

Hakeri koriste taktiku krađe identiteta i lažne dokumente

Prema nedavnom izvješću nizozemske tvrtke za kibernetičku sigurnost EclecticIQ, u veljači 2023. otkriven je novi val napada koji je vrlo sličio prethodnim napadima. Međutim, postojala je jedna značajna razlika u ovoj kampanji - rutina maskiranja zlonamjernog softvera poboljšana je kako bi se bolje izbjeglo otkrivanje mjerama protiv zlonamjernog softvera.

Napadi slijede strategiju društvenog inženjeringa koja uključuje slanje e-poruka koje sadrže privitke ISO slikovne datoteke metama koje ništa ne sumnjaju. Datoteka ISO slike sadrži tri komponente: izvršnu datoteku (Winword.exe), program za učitavanje (MSVCR100.dll) i Microsoft Word dokument mamac. Word dokument je distrakcija, dok je loader odgovoran za učitavanje zlonamjernog softvera KamiKakaBot.

Kako bi izbjegao sigurnosnu zaštitu, učitavač koristi DLL metodu bočnog učitavanja za učitavanje KamiKakaBot-a u memoriju Winword.exe binarne datoteke. Ova metoda omogućuje zlonamjernom softveru da zaobiđe sigurnosne mjere koje bi inače spriječile njegovo izvršenje.

KamiKakaBot može ukrasti osjetljive informacije s oštećenih uređaja

KamiKakaBot je zlonamjerni softverski program dizajniran za infiltraciju u web preglednike i krađu osjetljivih podataka. Ovaj zlonamjerni softver također može izvršavati udaljeni kod pomoću naredbenog retka (cmd.exe). Kako bi izbjegao otkrivanje, zlonamjerni softver uključuje sofisticirane tehnike kako bi se uklopio u žrtvino okruženje i izbjegao otkrivanje.

Nakon što je host kompromitiran, zlonamjerni softver uspostavlja postojanost zlouporabom biblioteke Winlogon Helper kako bi izvršio zlonamjerne izmjene ključa Windows registra. To omogućuje zlonamjernom softveru da ostane neotkriven i nastavi sa svojim zlonamjernim aktivnostima. Ukradeni podaci se zatim šalju Telegram botu kao ZIP arhiva.

Prema stručnjacima za kibernetičku sigurnost, korištenje legitimnih web usluga kao što je Telegram kao Command-and-Control (C2, C&C) poslužitelja uobičajena je taktika koju koriste akteri prijetnji. Ovaj pristup otežava otkrivanje i isključivanje zlonamjernog softvera jer se čini da je promet legitimna komunikacija s web uslugom. Ove taktike koriste ne samo obični kibernetički kriminalci, već i napredni akteri upornih prijetnji.

S obzirom na sve veću sofisticiranost ovih napada, za organizacije je ključno da poduzmu proaktivne mjere za sprječavanje kibernetičkih napada. To uključuje implementaciju snažnih sigurnosnih mjera za zaštitu od zlonamjernog softvera, ažuriranje softvera i edukaciju zaposlenika o tome kako prepoznati i izbjeći phishing napade.