Threat Database Malware KamiKakaBot

KamiKakaBot

A fost detectat un nou val de atacuri cibernetice, care vizează organizațiile guvernamentale și militare din țările din Asia de Sud-Est. Aceste atacuri sunt atribuite grupului Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), cunoscut și sub numele de Saaiwc. Printre instrumentele personalizate folosite de Dark Pink se numără TelePowerBot și KamiKakaBot, care permit grupului să execute comenzi arbitrare și să fure date sensibile de pe dispozitivele infectate.

Se crede că rozul închis provine din regiunea Asia-Pacific și este activ de cel puțin la jumătatea anului 2021. Cu toate acestea, activitățile sale au escaladat în 2022 și 2023, după cum reiese din recentele atacuri asupra entităților guvernamentale și militare din Asia de Sud-Est. Utilizarea unor programe malware sofisticate, cum ar fi KamiKakaBot, subliniază capacitățile și determinarea grupului de a-și atinge obiectivele. Aceste atacuri reprezintă o amenințare serioasă la adresa securității naționale și subliniază necesitatea unei vigilențe sporite și a unor măsuri proactive pentru a atenua riscul atacurilor cibernetice.

Hackerii folosesc tactici de phishing și documente momeala

Potrivit unui raport recent al firmei olandeze de securitate cibernetică EclecticIQ, în februarie 2023 a fost descoperit un nou val de atacuri care semăna foarte mult cu atacurile anterioare. Cu toate acestea, a existat o diferență semnificativă în această campanie - rutina de ofucare a malware-ului a fost îmbunătățită pentru a evita mai bine detectarea prin măsuri anti-malware.

Atacurile urmează o strategie de inginerie socială care implică trimiterea de mesaje de e-mail care conțin atașamente la fișiere imagine ISO către ținte nebănuite. Fișierul imagine ISO conține trei componente: un executabil (Winword.exe), un încărcător (MSVCR100.dll) și un document Microsoft Word momeală. Documentul Word este o distragere a atenției, în timp ce încărcătorul este responsabil pentru încărcarea malware-ului KamiKakaBot.

Pentru a evita protecțiile de securitate, încărcătorul folosește metoda de încărcare laterală a DLL pentru a încărca KamiKakaBot în memoria binarului Winword.exe. Această metodă permite malware-ului să ocolească măsurile de securitate care altfel l-ar împiedica să se execute.

KamiKakaBot poate fura informații sensibile de pe dispozitivele încălcate

KamiKakaBot este un program software rău intenționat conceput pentru a se infiltra în browsere web și a fura date sensibile. Acest malware este, de asemenea, capabil să execute cod de la distanță utilizând Command Prompt (cmd.exe). Pentru a evita detectarea, malware-ul încorporează tehnici sofisticate pentru a se integra în mediul victimei și pentru a evita detectarea.

Odată ce o gazdă este compromisă, malware-ul stabilește persistența prin abuzarea bibliotecii Winlogon Helper pentru a face modificări rău intenționate la cheia de registru Windows. Acest lucru permite malware-ului să rămână nedetectat și să continue să își desfășoare activitățile rău intenționate. Datele furate sunt apoi trimise către un bot Telegram ca arhivă ZIP.

Potrivit experților în securitate cibernetică, utilizarea serviciilor web legitime, cum ar fi Telegram, ca server de comandă și control (C2, C&C) este o tactică comună folosită de actorii amenințărilor. Această abordare face mai dificilă detectarea și oprirea malware-ului, deoarece traficul pare a fi o comunicare legitimă cu serviciul web. Aceste tactici sunt folosite nu numai de infractorii cibernetici obișnuiți, ci și de actorii de amenințări persistente avansate.

Având în vedere sofisticarea crescândă a acestor atacuri, este esențial ca organizațiile să ia măsuri proactive pentru a preveni atacurile cibernetice. Aceasta include implementarea unor măsuri de securitate robuste pentru a proteja împotriva programelor malware, menținerea software-ului la zi și educarea angajaților cu privire la modul de identificare și evitare a atacurilor de tip phishing.

Trending

Cele mai văzute

Se încarcă...