Threat Database Malware KamiKakaBot

KamiKakaBot

Er is een nieuwe golf van cyberaanvallen gedetecteerd, gericht op overheids- en militaire organisaties in Zuidoost-Aziatische landen. Deze aanvallen worden toegeschreven aan de groep Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), ook wel bekend als Saaiwc. Onder de aangepaste tools die Dark Pink gebruikt, zijn TelePowerBot en KamiKakaBot, waarmee de groep willekeurige opdrachten kan uitvoeren en gevoelige gegevens van de geïnfecteerde apparaten kan stelen.

Dark Pink is vermoedelijk afkomstig uit de regio Azië-Pacific en is in ieder geval sinds medio 2021 actief. De activiteiten escaleerden echter in 2022 en 2023, zoals blijkt uit de recente aanvallen op regerings- en militaire entiteiten in Zuidoost-Azië. Het gebruik van geavanceerde malware zoals KamiKakaBot onderstreept de capaciteiten en vastberadenheid van de groep om haar doelstellingen te bereiken. Deze aanvallen vormen een ernstige bedreiging voor de nationale veiligheid en benadrukken de noodzaak van verhoogde waakzaamheid en proactieve maatregelen om het risico van cyberaanvallen te verkleinen.

De hackers gebruiken phishing-tactieken en lokdocumenten

Volgens een recent rapport van het Nederlandse cyberbeveiligingsbedrijf EclecticIQ werd in februari 2023 een nieuwe aanvalsgolf ontdekt die sterk leek op eerdere aanvallen. Er was echter één belangrijk verschil in deze campagne: de verduisteringsroutine van de malware werd verbeterd om detectie door anti-malwaremaatregelen beter te voorkomen.

De aanvallen volgen een social engineering-strategie waarbij e-mailberichten met bijlagen van ISO-afbeeldingsbestanden naar nietsvermoedende doelen worden gestuurd. Het ISO-imagebestand bevat drie componenten: een uitvoerbaar bestand (Winword.exe), een lader (MSVCR100.dll) en een lokaas Microsoft Word-document. Het Word-document leidt af, terwijl de lader verantwoordelijk is voor het laden van de KamiKakaBot-malware.

Om beveiligingsmaatregelen te omzeilen, gebruikt de lader de DLL side-loading-methode om KamiKakaBot in het geheugen van het Winword.exe binaire bestand te laden. Met deze methode kan de malware beveiligingsmaatregelen omzeilen die anders de uitvoering ervan zouden verhinderen.

KamiKakaBot kan gevoelige informatie stelen van de geschonden apparaten

KamiKakaBot is een kwaadaardig softwareprogramma dat is ontworpen om webbrowsers te infiltreren en gevoelige gegevens te stelen. Deze malware is ook in staat om externe code uit te voeren met behulp van de opdrachtprompt (cmd.exe). Om detectie te omzeilen, gebruikt de malware geavanceerde technieken om op te gaan in de omgeving van het slachtoffer en detectie te voorkomen.

Zodra een host is gecompromitteerd, zorgt de malware voor persistentie door de Winlogon Helper-bibliotheek te misbruiken om kwaadaardige wijzigingen aan te brengen in de Windows-registersleutel. Hierdoor kan de malware onopgemerkt blijven en zijn kwaadaardige activiteiten blijven uitvoeren. De gestolen gegevens worden vervolgens als een ZIP-archief naar een Telegram-bot gestuurd.

Volgens cyberbeveiligingsexperts is het gebruik van legitieme webservices zoals Telegram als een Command-and-Control (C2, C&C)-server een veelgebruikte tactiek van bedreigingsactoren. Deze aanpak maakt het moeilijker om de malware te detecteren en af te sluiten, aangezien het verkeer legitieme communicatie met de webservice lijkt te zijn. Deze tactieken worden niet alleen gebruikt door reguliere cybercriminelen, maar ook door geavanceerde hardnekkige bedreigingsactoren.

Gezien de toenemende complexiteit van deze aanvallen, is het van cruciaal belang voor organisaties om proactieve maatregelen te nemen om cyberaanvallen te voorkomen. Dit omvat het implementeren van robuuste beveiligingsmaatregelen ter bescherming tegen malware, het up-to-date houden van software en het opleiden van werknemers over het identificeren en voorkomen van phishing-aanvallen.

Trending

Meest bekeken

Bezig met laden...