카미카카봇

동남아시아 국가의 정부 및 군사 조직을 대상으로 하는 사이버 공격의 새로운 물결이 감지되었습니다. 이러한 공격은 Saaiwc라고도 하는 Dark Pink APTAdvanced Persistent Threat(Advanced Persistent Threat) 그룹에 기인합니다. Dark Pink에서 사용하는 사용자 지정 도구 중에는 TelePowerBot 및 KamiKakaBot이 있으며, 이를 통해 그룹은 임의의 명령을 실행하고 감염된 장치에서 중요한 데이터를 훔칠 수 있습니다.

다크핑크는 아시아태평양 지역이 원산지로 추정되며 적어도 2021년 중반부터 활동해왔다. 그러나 2022년과 2023년에는 동남아시아의 정부 및 군대에 대한 최근 공격에서 알 수 있듯이 활동이 확대되었습니다. KamiKakaBot과 같은 정교한 맬웨어의 사용은 목표를 달성하려는 그룹의 능력과 결의를 강조합니다. 이러한 공격은 국가 안보에 심각한 위협이 되며 사이버 공격의 위험을 완화하기 위해 강화된 경계와 선제적 조치의 필요성을 강조합니다.

해커는 피싱 전술과 미끼 문서를 사용합니다.

네덜란드 사이버 보안 회사 EclecticIQ의 최근 보고서에 따르면 2023년 2월 이전 공격과 매우 유사한 새로운 공격 물결이 발견되었습니다. 그러나 이 캠페인에는 한 가지 중요한 차이점이 있었습니다. 즉, 악성 코드의 난독화 루틴이 개선되어 악성 코드 방지 조치에 의한 탐지를 더 잘 피할 수 있었습니다.

이 공격은 의심하지 않는 대상에게 ISO 이미지 파일 첨부 파일이 포함된 이메일 메시지를 보내는 것과 관련된 사회 공학 전략을 따릅니다. ISO 이미지 파일에는 실행 파일(Winword.exe), 로더(MSVCR100.dll) 및 미끼 Microsoft Word 문서의 세 가지 구성 요소가 포함되어 있습니다. Word 문서는 주의를 산만하게 하는 반면 로더는 KamiKakaBot 맬웨어를 로드하는 역할을 합니다.

보안 보호를 피하기 위해 로더는 DLL 사이드 로딩 방법을 사용하여 KamiKakaBot을 Winword.exe 바이너리의 메모리에 로드합니다. 이 방법을 사용하면 맬웨어가 실행을 방지하는 보안 조치를 우회할 수 있습니다.

KamiKakaBot은 침해된 장치에서 민감한 정보를 훔칠 수 있습니다.

KamiKakaBot은 웹 브라우저에 침투하여 민감한 데이터를 훔치도록 설계된 악성 소프트웨어 프로그램입니다. 이 맬웨어는 명령 프롬프트(cmd.exe)를 사용하여 원격 코드를 실행할 수도 있습니다. 탐지를 피하기 위해 맬웨어는 정교한 기술을 통합하여 피해자의 환경과 혼합하고 탐지를 피합니다.

호스트가 손상되면 맬웨어는 Winlogon Helper 라이브러리를 악용하여 Windows 레지스트리 키를 악의적으로 수정하여 지속성을 설정합니다. 이렇게 하면 맬웨어가 탐지되지 않고 악의적인 활동을 계속 수행할 수 있습니다. 도난당한 데이터는 ZIP 아카이브로 Telegram 봇에 전송됩니다.

사이버 보안 전문가에 따르면 Telegram과 같은 합법적인 웹 서비스를 명령 및 제어(C2, C&C) 서버로 사용하는 것은 위협 행위자가 사용하는 일반적인 전술입니다. 이 접근 방식은 트래픽이 웹 서비스와의 합법적인 통신으로 나타나기 때문에 맬웨어를 탐지하고 차단하기가 더 어렵습니다. 이러한 전술은 일반 사이버 범죄자뿐만 아니라 지능형 지속적 위협 행위자도 사용합니다.

이러한 공격이 점점 더 정교해짐에 따라 조직은 사이버 공격을 방지하기 위한 사전 조치를 취하는 것이 중요합니다. 여기에는 맬웨어로부터 보호하기 위한 강력한 보안 조치 구현, 소프트웨어를 최신 상태로 유지, 피싱 공격을 식별하고 방지하는 방법에 대한 직원 교육이 포함됩니다.