KamiKakaBot

Ir atklāts jauns kiberuzbrukumu vilnis, kas vērsts pret valdības un militārajām organizācijām Dienvidaustrumāzijas valstīs. Šie uzbrukumi tiek attiecināti uz grupu Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), kas pazīstama arī kā Saaiwc. Starp pielāgotajiem rīkiem, ko izmanto Dark Pink, ir TelePowerBot un KamiKakaBot, kas ļauj grupai izpildīt patvaļīgas komandas un nozagt sensitīvus datus no inficētajām ierīcēm.

Tiek uzskatīts, ka tumši rozā krāsa nāk no Āzijas un Klusā okeāna reģiona, un tā ir bijusi aktīva vismaz kopš 2021. gada vidus. Tomēr tās aktivitātes saasinājās 2022. un 2023. gadā, par ko liecina nesenie uzbrukumi valdībai un militārajām vienībām Dienvidaustrumāzijā. Sarežģītas ļaunprātīgas programmatūras, piemēram, KamiKakaBot, izmantošana uzsver grupas spējas un apņēmību sasniegt savus mērķus. Šie uzbrukumi nopietni apdraud valsts drošību un uzsver nepieciešamību pēc pastiprinātas modrības un proaktīviem pasākumiem, lai mazinātu kiberuzbrukumu risku.

Hakeri izmanto pikšķerēšanas taktiku un mānekļus

Saskaņā ar neseno Nīderlandes kiberdrošības firmas EclecticIQ ziņojumu 2023. gada februārī tika atklāts jauns uzbrukumu vilnis, kas ļoti līdzinājās iepriekšējiem uzbrukumiem. Tomēr šajā kampaņā bija viena būtiska atšķirība – ļaunprogrammatūras apmulsināšanas rutīna tika uzlabota, lai labāk izvairītos no atklāšanas ar pretļaunatūras pasākumiem.

Uzbrukumi tiek veikti pēc sociālās inženierijas stratēģijas, kas ietver e-pasta ziņojumu ar ISO attēla failu pielikumu nosūtīšanu nenojaušajiem mērķiem. ISO attēla failā ir trīs komponenti: izpildāmais fails (Winword.exe), ielādētājs (MSVCR100.dll) un māneklis Microsoft Word dokuments. Word dokuments novērš uzmanību, savukārt ielādētājs ir atbildīgs par KamiKakaBot ļaunprātīgas programmatūras ielādi.

Lai izvairītos no drošības aizsardzības, ielādētājs izmanto DLL sānu ielādes metodi, lai ielādētu KamiKakaBot binārā Winword.exe atmiņā. Šī metode ļauj ļaunprātīgai programmatūrai apiet drošības pasākumus, kas citādi neļautu tai izpildīt.

KamiKakaBot var nozagt sensitīvu informāciju no uzlauztām ierīcēm

KamiKakaBot ir ļaunprātīga programmatūra, kas izstrādāta, lai iefiltrētos tīmekļa pārlūkprogrammās un nozagtu sensitīvus datus. Šī ļaunprogrammatūra var arī izpildīt attālo kodu, izmantojot komandu uzvedni (cmd.exe). Lai izvairītos no atklāšanas, ļaunprogrammatūra ietver sarežģītas metodes, lai iekļautos upura vidē un izvairītos no atklāšanas.

Kad resursdators ir uzlauzts, ļaunprātīga programmatūra nodrošina noturību, ļaunprātīgi izmantojot Winlogon Helper bibliotēku, lai veiktu ļaunprātīgas Windows reģistra atslēgas modifikācijas. Tas ļauj ļaunprogrammatūrai palikt neatklātai un turpināt veikt savas ļaunprātīgās darbības. Pēc tam nozagtie dati tiek nosūtīti uz Telegram robotu kā ZIP arhīvs.

Saskaņā ar kiberdrošības ekspertu teikto, likumīgu tīmekļa pakalpojumu, piemēram, Telegram, izmantošana kā Command-and-Control (C2, C&C) serveri ir izplatīta taktika, ko izmanto apdraudējuma dalībnieki. Šī pieeja apgrūtina ļaunprātīgas programmatūras atklāšanu un izslēgšanu, jo šķiet, ka trafiks ir likumīga saziņa ar tīmekļa pakalpojumu. Šo taktiku izmanto ne tikai parastie kibernoziedznieki, bet arī progresīvi pastāvīgu apdraudējumu dalībnieki.

Ņemot vērā šo uzbrukumu pieaugošo sarežģītību, organizācijām ir ļoti svarīgi veikt proaktīvus pasākumus, lai novērstu kiberuzbrukumus. Tas ietver stingru drošības pasākumu ieviešanu aizsardzībai pret ļaunprātīgu programmatūru, programmatūras atjaunināšanu un darbinieku izglītošanu par to, kā identificēt pikšķerēšanas uzbrukumus un izvairīties no tiem.