KamiKakaBot
Aptikta nauja kibernetinių atakų banga, nukreipta prieš vyriausybes ir karines organizacijas Pietryčių Azijos šalyse. Šios atakos priskiriamos Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat) grupei, taip pat žinomai kaip Saaiwc. Tarp pasirinktinių įrankių, kuriuos naudoja „Dark Pink“, yra „TelePowerBot“ ir „KamiKakaBot“, kurie leidžia grupei vykdyti savavališkas komandas ir pavogti slaptus duomenis iš užkrėstų įrenginių.
Manoma, kad tamsiai rožinė spalva kilusi iš Azijos ir Ramiojo vandenyno regiono ir veikia mažiausiai nuo 2021 m. vidurio. Tačiau jos veikla išaugo 2022 ir 2023 m., ką rodo pastarieji išpuoliai prieš vyriausybę ir karinius subjektus Pietryčių Azijoje. Sudėtingos kenkėjiškos programos, tokios kaip KamiKakaBot, naudojimas pabrėžia grupės galimybes ir ryžtą siekti savo tikslų. Šios atakos kelia rimtą grėsmę nacionaliniam saugumui ir pabrėžia, kad reikia didesnio budrumo ir aktyvių priemonių kibernetinių atakų rizikai sumažinti.
Piratai naudoja sukčiavimo taktiką ir vilioja dokumentus
Remiantis naujausia Nyderlandų kibernetinio saugumo įmonės „EclecticIQ“ ataskaita, 2023 m. vasario mėn. buvo aptikta nauja atakų banga, kuri labai panaši į ankstesnes atakas. Tačiau šioje kampanijoje buvo vienas reikšmingas skirtumas – buvo patobulinta kenkėjiškų programų užmaskavimo tvarka, kad būtų geriau išvengta aptikimo naudojant kovos su kenkėjiškomis programomis priemones.
Atakos vykdomos pagal socialinės inžinerijos strategiją, kuri apima el. laiškų su ISO vaizdo failų priedais siuntimą nieko neįtariantiems taikiniams. ISO vaizdo failą sudaro trys komponentai: vykdomasis failas (Winword.exe), įkroviklis (MSVCR100.dll) ir „Microsoft Word“ dokumentas. „Word“ dokumentas atitraukia dėmesį, o įkroviklis yra atsakingas už „KamiKakaBot“ kenkėjiškos programos įkėlimą.
Kad išvengtų saugos apsaugos, įkroviklis naudoja DLL šoninio įkėlimo metodą, kad įkeltų KamiKakaBot į Winword.exe dvejetainio failo atmintį. Šis metodas leidžia kenkėjiškajai programai apeiti saugos priemones, kurios kitu atveju neleistų jai vykdyti.
KamiKakaBot gali pavogti neskelbtiną informaciją iš pažeistų įrenginių
KamiKakaBot yra kenkėjiška programinė įranga, skirta įsiskverbti į žiniatinklio naršykles ir pavogti neskelbtinus duomenis. Ši kenkėjiška programa taip pat gali vykdyti nuotolinį kodą naudojant komandų eilutę (cmd.exe). Kad būtų išvengta aptikimo, kenkėjiška programinė įranga turi sudėtingų metodų, leidžiančių susilieti su aukos aplinka ir išvengti aptikimo.
Kai priegloba yra pažeista, kenkėjiška programa užtikrina išlikimą piktnaudžiaudama „Winlogon Helper“ biblioteka, kad padarytų kenkėjiškas „Windows“ registro rakto modifikacijas. Tai leidžia kenkėjiškajai programai likti nepastebėtai ir toliau vykdyti savo kenkėjišką veiklą. Tada pavogti duomenys siunčiami į „Telegram“ robotą kaip ZIP archyvas.
Kibernetinio saugumo ekspertų teigimu, teisėtų žiniatinklio paslaugų, tokių kaip „Telegram“ naudojimas kaip komandų ir valdymo (C2, C&C) serveris, yra įprasta taktika, kurią naudoja grėsmės veikėjai. Šis metodas apsunkina kenkėjiškų programų aptikimą ir išjungimą, nes atrodo, kad srautas yra teisėtas ryšys su žiniatinklio paslauga. Šias taktikas naudoja ne tik įprasti kibernetiniai nusikaltėliai, bet ir pažangūs nuolatiniai grėsmės veikėjai.
Atsižvelgiant į didėjantį šių atakų sudėtingumą, organizacijoms labai svarbu imtis aktyvių priemonių kibernetinėms atakoms išvengti. Tai apima patikimų apsaugos priemonių, skirtų apsisaugoti nuo kenkėjiškų programų, įgyvendinimą, programinės įrangos atnaujinimą ir darbuotojų švietimą, kaip atpažinti sukčiavimo atakas ir jų išvengti.
