KamiKakaBot

Wykryto nową falę cyberataków wymierzonych w organizacje rządowe i wojskowe w krajach Azji Południowo-Wschodniej. Ataki te są przypisywane grupie Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), znanej również jako Saaiwc. Wśród niestandardowych narzędzi wykorzystywanych przez Dark Pink są TelePowerBot i KamiKakaBot, które umożliwiają grupie wykonywanie dowolnych poleceń i kradzież poufnych danych z zainfekowanych urządzeń.

Uważa się, że Dark Pink pochodzi z regionu Azji i Pacyfiku i jest aktywny co najmniej od połowy 2021 roku. Jednak jego działania nasiliły się w 2022 i 2023 r., o czym świadczą niedawne ataki na podmioty rządowe i wojskowe w Azji Południowo-Wschodniej. Wykorzystanie wyrafinowanego złośliwego oprogramowania, takiego jak KamiKakaBot, podkreśla możliwości i determinację grupy w osiąganiu jej celów. Ataki te stanowią poważne zagrożenie dla bezpieczeństwa narodowego i wskazują na potrzebę wzmożonej czujności i proaktywnych środków w celu ograniczenia ryzyka cyberataków.

Hakerzy stosują taktyki phishingowe i dokumenty-wabiki

Według niedawnego raportu holenderskiej firmy zajmującej się cyberbezpieczeństwem EclecticIQ, w lutym 2023 r. wykryto nową falę ataków, która bardzo przypominała poprzednie ataki. W tej kampanii była jednak jedna znacząca różnica — procedura zaciemniania złośliwego oprogramowania została ulepszona, aby lepiej zapobiegać wykryciu przez środki ochrony przed złośliwym oprogramowaniem.

Ataki są zgodne ze strategią inżynierii społecznej, która polega na wysyłaniu wiadomości e-mail zawierających załączniki w postaci plików obrazów ISO do niczego niepodejrzewających celów. Plik obrazu ISO zawiera trzy komponenty: plik wykonywalny (Winword.exe), moduł ładujący (MSVCR100.dll) i fałszywy dokument programu Microsoft Word. Dokument Word rozprasza uwagę, podczas gdy program ładujący jest odpowiedzialny za ładowanie złośliwego oprogramowania KamiKakaBot.

Aby obejść zabezpieczenia, moduł ładujący wykorzystuje metodę ładowania bocznego DLL w celu załadowania KamiKakaBot do pamięci pliku binarnego Winword.exe. Ta metoda pozwala złośliwemu oprogramowaniu ominąć środki bezpieczeństwa, które w przeciwnym razie uniemożliwiłyby mu wykonanie.

KamiKakaBot może ukraść poufne informacje z naruszonych urządzeń

KamiKakaBot to złośliwy program przeznaczony do infiltracji przeglądarek internetowych i kradzieży poufnych danych. To złośliwe oprogramowanie może również wykonywać zdalny kod przy użyciu wiersza polecenia (cmd.exe). Aby uniknąć wykrycia, złośliwe oprogramowanie wykorzystuje wyrafinowane techniki wtapiania się w otoczenie ofiary i unikania wykrycia.

Po naruszeniu hosta złośliwe oprogramowanie ustanawia trwałość, nadużywając biblioteki Winlogon Helper w celu złośliwych modyfikacji klucza rejestru systemu Windows. Pozwala to złośliwemu oprogramowaniu pozostać niewykrytym i kontynuować złośliwe działania. Skradzione dane są następnie wysyłane do bota Telegram jako archiwum ZIP.

Według ekspertów ds. cyberbezpieczeństwa wykorzystywanie legalnych usług internetowych, takich jak Telegram, jako serwera dowodzenia i kontroli (C2, C&C) jest powszechną taktyką stosowaną przez cyberprzestępców. Takie podejście utrudnia wykrycie i zamknięcie złośliwego oprogramowania, ponieważ ruch wydaje się być legalną komunikacją z usługą sieciową. Taktyki te są stosowane nie tylko przez zwykłych cyberprzestępców, ale także przez zaawansowane ugrupowania uporczywe.

Biorąc pod uwagę rosnące wyrafinowanie tych ataków, niezwykle ważne jest, aby organizacje podejmowały proaktywne działania w celu zapobiegania cyberatakom. Obejmuje to wdrażanie solidnych środków bezpieczeństwa w celu ochrony przed złośliwym oprogramowaniem, aktualizowanie oprogramowania oraz edukowanie pracowników w zakresie identyfikowania ataków typu phishing i unikania ich.