KamiKakaBot

En ny bølge av nettangrep har blitt oppdaget, rettet mot regjeringen og militære organisasjoner i Sørøst-asiatiske land. Disse angrepene tilskrives gruppen Dark Pink APTAadvanced Persistent Threat (Advanced Persistent Threat), også kjent som Saaiwc. Blant de tilpassede verktøyene som brukes av Dark Pink er TelePowerBot og KamiKakaBot, som lar gruppen utføre vilkårlige kommandoer og stjele sensitive data fra de infiserte enhetene.

Mørk rosa antas å stamme fra Asia-Stillehavsregionen og har vært aktiv siden minst midten av 2021. Aktivitetene eskalerte imidlertid i 2022 og 2023, noe som fremgår av de nylige angrepene på regjeringen og militære enheter i Sørøst-Asia. Bruken av sofistikert skadelig programvare som KamiKakaBot understreker gruppens evner og vilje til å nå sine mål. Disse angrepene utgjør en alvorlig trussel mot nasjonal sikkerhet og fremhever behovet for økt årvåkenhet og proaktive tiltak for å redusere risikoen for nettangrep.

Hackerne bruker phishing-taktikker og lokkedokumenter

I følge en fersk rapport fra det nederlandske cybersikkerhetsfirmaet EclecticIQ ble det oppdaget en ny bølge av angrep i februar 2023 som lignet mye på tidligere angrep. Det var imidlertid én betydelig forskjell i denne kampanjen – skadevareens tilsløringsrutine ble forbedret for bedre å unngå oppdagelse med tiltak mot skadelig programvare.

Angrepene følger en sosial ingeniørstrategi som innebærer å sende e-postmeldinger som inneholder ISO-bildefilvedlegg til intetanende mål. ISO-bildefilen inneholder tre komponenter: en kjørbar fil (Winword.exe), en laster (MSVCR100.dll) og et Microsoft Word-dokument. Word-dokumentet er en distraksjon, mens lasteren er ansvarlig for å laste KamiKakaBot skadelig programvare.

For å unngå sikkerhetsbeskyttelse, bruker lasteren DLL-sidelastingsmetoden for å laste KamiKakaBot inn i minnet til Winword.exe-binæren. Denne metoden lar skadevare omgå sikkerhetstiltak som ellers ville hindret den i å kjøre.

KamiKakaBot kan stjele sensitiv informasjon fra de brutte enhetene

KamiKakaBot er et skadelig program utviklet for å infiltrere nettlesere og stjele sensitive data. Denne skadelige programvaren er også i stand til å kjøre ekstern kode ved å bruke kommandoprompt (cmd.exe). For å unngå oppdagelse, inneholder skadevaren sofistikerte teknikker for å blande seg inn i offerets miljø og unngå oppdagelse.

Når en vert er kompromittert, etablerer skadelig programvare utholdenhet ved å misbruke Winlogon Helper-biblioteket til å gjøre ondsinnede endringer i Windows-registernøkkelen. Dette gjør at skadelig programvare kan forbli uoppdaget og fortsette å utføre sine ondsinnede aktiviteter. De stjålne dataene sendes deretter til en Telegram-bot som et ZIP-arkiv.

Ifølge eksperter på nettsikkerhet er bruken av legitime nettjenester som Telegram som en Command-and-Control-server (C2, C&C) en vanlig taktikk som brukes av trusselaktører. Denne tilnærmingen gjør det vanskeligere å oppdage og stenge skadelig programvare, ettersom trafikken ser ut til å være legitim kommunikasjon med nettjenesten. Disse taktikkene brukes ikke bare av vanlige nettkriminelle, men også av avanserte vedvarende trusselaktører.

Gitt den økende sofistikeringen av disse angrepene, er det avgjørende for organisasjoner å ta proaktive tiltak for å forhindre cyberangrep. Dette inkluderer implementering av robuste sikkerhetstiltak for å beskytte mot skadelig programvare, holde programvaren oppdatert og opplæring av ansatte i hvordan de identifiserer og unngår phishing-angrep.