KamiKakaBot

A kibertámadások új hullámát észlelték, amely kormányzati és katonai szervezeteket céloz meg a délkelet-ázsiai országokban. Ezek a támadások a Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat) csoportnak, más néven Saaiwc-nek tulajdoníthatók. A Dark Pink által használt egyéni eszközök közé tartozik a TelePowerBot és a KamiKakaBot, amelyek lehetővé teszik a csoport számára, hogy tetszőleges parancsokat hajtson végre, és érzékeny adatokat lopjon el a fertőzött eszközökről.

A Dark Pink vélhetően az ázsiai-csendes-óceáni térségből származik, és legalább 2021 közepe óta aktív. Tevékenysége azonban 2022-ben és 2023-ban fokozódott, amint azt a délkelet-ázsiai kormány és katonai szervezetek elleni közelmúltbeli támadások is bizonyítják. Az olyan kifinomult rosszindulatú programok, mint a KamiKakaBot, használata aláhúzza a csoport képességeit és eltökéltségét céljainak elérése érdekében. Ezek a támadások komoly veszélyt jelentenek a nemzetbiztonságra, és rávilágítanak arra, hogy fokozott éberségre és proaktív intézkedésekre van szükség a kibertámadások kockázatának csökkentése érdekében.

A hackerek adathalász taktikákat és csali dokumentumokat használnak

A holland EclecticIQ kiberbiztonsági cég legutóbbi jelentése szerint 2023 februárjában új támadási hullámot fedeztek fel, amely nagyon hasonlít a korábbi támadásokhoz. Volt azonban egy jelentős különbség ebben a kampányban – a rosszindulatú programok elhomályosítási rutinját továbbfejlesztették, hogy elkerülhető legyen a kártevő-ellenes intézkedések észlelése.

A támadások szociális tervezési stratégiát követnek, amelynek során ISO képfájl-mellékleteket tartalmazó e-mail üzeneteket küldenek gyanútlan célpontoknak. Az ISO képfájl három összetevőt tartalmaz: egy végrehajtható fájlt (Winword.exe), egy betöltőt (MSVCR100.dll) és egy csaló Microsoft Word dokumentumot. A Word dokumentum eltereli a figyelmet, míg a betöltő feladata a KamiKakaBot kártevő betöltése.

A biztonsági védelem elkerülése érdekében a betöltő a DLL oldalsó betöltési módszerét használja a KamiKakaBot betöltéséhez a Winword.exe bináris memóriájába. Ez a módszer lehetővé teszi a rosszindulatú program számára, hogy megkerülje azokat a biztonsági intézkedéseket, amelyek egyébként megakadályoznák a végrehajtását.

A KamiKakaBot érzékeny információkat tud ellopni a feltört eszközökről

A KamiKakaBot egy rosszindulatú szoftver, amelyet arra terveztek, hogy behatoljon a webböngészőkbe és érzékeny adatokat lopjon el. Ez a rosszindulatú program távoli kód futtatására is képes a Command Prompt (cmd.exe) használatával. Az észlelés elkerülése érdekében a rosszindulatú program kifinomult technikákat alkalmaz, hogy beleolvadjon az áldozat környezetébe, és elkerülje az észlelést.

Amint egy gazdagép feltört, a rosszindulatú program a Winlogon Helper könyvtárral való visszaéléssel biztosítja a perzisztenciát, és rosszindulatú módosításokat hajt végre a Windows rendszerleíró kulcsán. Ez lehetővé teszi, hogy a rosszindulatú program észrevétlen maradjon, és folytathassa rosszindulatú tevékenységeit. Az ellopott adatokat ezután ZIP-archívumként elküldik egy Telegram botnak.

Kiberbiztonsági szakértők szerint a legális webszolgáltatások, például a Telegram Command-and-Control (C2, C&C) szerverként való használata gyakori taktika a fenyegetés szereplői körében. Ez a megközelítés megnehezíti a rosszindulatú program észlelését és leállítását, mivel a forgalom legitim kommunikációnak tűnik a webszolgáltatással. Ezeket a taktikákat nemcsak a rendszeres kiberbűnözők alkalmazzák, hanem a fejlett, állandó fenyegetés szereplői is.

Tekintettel ezeknek a támadásoknak a kifinomultságára, elengedhetetlen, hogy a szervezetek proaktív intézkedéseket tegyenek a kibertámadások megelőzésére. Ez magában foglalja a rosszindulatú programok elleni védelem érdekében robusztus biztonsági intézkedések bevezetését, a szoftverek naprakészen tartását, valamint az alkalmazottak oktatását az adathalász támadások azonosítására és elkerülésére.