कामीकाकाबोट
दक्षिणपूर्वी एसियाली देशहरूमा सरकारी र सैन्य संगठनहरूलाई लक्षित गर्दै साइबर आक्रमणको नयाँ लहर पत्ता लागेको छ। यी आक्रमणहरूको श्रेय डार्क पिंक एपीटीए एडभान्स्ड पर्सिस्टेन्ट थ्रेट (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) समूहलाई दिइएको छ, जसलाई Saaiwc पनि भनिन्छ। डार्क पिंकले प्रयोग गर्ने अनुकूलन उपकरणहरू मध्ये TelePowerBot र KamiKakaBot छन्, जसले समूहलाई स्वेच्छाचारी आदेशहरू कार्यान्वयन गर्न र संक्रमित उपकरणहरूबाट संवेदनशील डाटा चोर्न अनुमति दिन्छ।
गाढा गुलाबी एशिया-प्रशान्त क्षेत्रबाट उत्पन्न भएको मानिन्छ र कम्तिमा 2021 को मध्य देखि सक्रिय छ। यद्यपि, यसको गतिविधिहरू २०२२ र २०२३ मा बढ्दै गयो, जसको प्रमाण दक्षिणपूर्व एसियामा सरकारी र सैन्य संस्थाहरूमा हालैका आक्रमणहरूले देखाएको छ। KamiKakaBot जस्ता परिष्कृत मालवेयरको प्रयोगले समूहको क्षमताहरू र यसको उद्देश्यहरू प्राप्त गर्न दृढ संकल्पलाई जोड दिन्छ। यी आक्रमणहरूले राष्ट्रिय सुरक्षाको लागि गम्भीर खतरा निम्त्याउँछ र साइबर आक्रमणको जोखिमलाई कम गर्नको लागि उच्च सतर्कता र सक्रिय उपायहरूको आवश्यकतालाई हाइलाइट गर्दछ।
ह्याकरहरूले फिसिङ रणनीति र डिको कागजातहरू प्रयोग गर्छन्
डच साइबरसेक्युरिटी फर्म EclecticIQ को हालैको रिपोर्ट अनुसार, फेब्रुअरी 2023 मा आक्रमणको नयाँ लहर फेला परेको थियो जुन पहिलेका आक्रमणहरूसँग मिल्दोजुल्दो थियो। यद्यपि, यस अभियानमा एउटा महत्त्वपूर्ण भिन्नता थियो - मालवेयरको अस्पष्टता दिनचर्यालाई एन्टी-मालवेयर उपायहरूद्वारा पत्ता लगाउनबाट बच्नको लागि सुधार गरिएको थियो।
आक्रमणहरू एक सामाजिक ईन्जिनियरिङ् रणनीति अनुसरण गर्दछ जसमा अस्पष्ट लक्ष्यहरूमा ISO छवि फाइल संलग्नहरू समावेश भएको इमेल सन्देशहरू पठाउन समावेश छ। ISO छवि फाइलमा तीनवटा कम्पोनेन्टहरू छन्: एउटा कार्यान्वयनयोग्य (Winword.exe), एउटा लोडर (MSVCR100.dll), र एउटा डिकोय माइक्रोसफ्ट वर्ड कागजात। Word कागजात एक विचलित हो, जबकि लोडर KamiKakaBot मालवेयर लोड गर्न जिम्मेवार छ।
सुरक्षा सुरक्षाहरू बेवास्ता गर्न, लोडरले Winword.exe बाइनरीको मेमोरीमा KamiKakaBot लोड गर्न DLL साइड-लोडिङ विधि प्रयोग गर्दछ। यो विधिले मालवेयरलाई सुरक्षा उपायहरू बाइपास गर्न अनुमति दिन्छ जसले अन्यथा यसलाई कार्यान्वयन हुनबाट रोक्छ।
KamiKakaBot ले उल्लंघन गरिएका उपकरणहरूबाट संवेदनशील जानकारी चोर्न सक्छ
KamiKakaBot वेब ब्राउजरहरूमा घुसपैठ गर्न र संवेदनशील डाटा चोरी गर्न डिजाइन गरिएको एक खराब सफ्टवेयर प्रोग्राम हो। यो मालवेयर कमाण्ड प्रम्प्ट (cmd.exe) को प्रयोग गरेर रिमोट कोड कार्यान्वयन गर्न पनि सक्षम छ। पत्ता लगाउनबाट बच्नको लागि, मालवेयरले पीडितको वातावरणसँग मिलाउन र पत्ता लगाउनबाट बच्न परिष्कृत प्रविधिहरू समावेश गर्दछ।
एक पटक होस्टले सम्झौता गरेपछि, मालवेयरले विन्डोज रजिस्ट्री कुञ्जीमा खराब परिमार्जन गर्न Winlogon हेल्पर लाइब्रेरीको दुरुपयोग गरेर दृढता स्थापना गर्दछ। यसले मालवेयरलाई पत्ता नलाग्ने र यसको खराब गतिविधिहरू जारी राख्न अनुमति दिन्छ। चोरी भएको डाटा त्यसपछि जिप अभिलेखको रूपमा टेलिग्राम बोटमा पठाइन्छ।
साइबरसुरक्षा विशेषज्ञहरूका अनुसार, कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरको रूपमा टेलिग्राम जस्ता वैध वेब सेवाहरूको प्रयोग खतरा अभिनेताहरूले प्रयोग गर्ने एक सामान्य रणनीति हो। यो दृष्टिकोणले मालवेयर पत्ता लगाउन र बन्द गर्न अझ गाह्रो बनाउँछ, किनकि ट्राफिक वेब सेवासँग वैध संचार जस्तो देखिन्छ। यी कार्यनीतिहरू नियमित साइबर अपराधीहरूले मात्र होइन तर उन्नत लगातार खतरा अभिनेताहरूद्वारा पनि प्रयोग गरिन्छ।
यी आक्रमणहरूको बढ्दो परिष्कारलाई ध्यानमा राख्दै, संगठनहरूले साइबर आक्रमणहरू रोक्नको लागि सक्रिय कदम चाल्नु महत्त्वपूर्ण छ। यसमा मालवेयरबाट जोगाउन बलियो सुरक्षा उपायहरू लागू गर्ने, सफ्टवेयरलाई अप-टु-डेट राख्ने, र फिसिङ आक्रमणहरू कसरी पहिचान गर्ने र त्यसबाट बच्नका लागि कर्मचारीहरूलाई शिक्षा दिने समावेश छ।
