КамиКакаБот

Обнаружена новая волна кибератак, направленных против правительственных и военных организаций в странах Юго-Восточной Азии. Эти атаки относятся к группе Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), также известной как Saaiwc. Среди специальных инструментов, используемых Dark Pink, — TelePowerBot и KamiKakaBot, которые позволяют группе выполнять произвольные команды и красть конфиденциальные данные с зараженных устройств.

Считается, что Dark Pink происходит из Азиатско-Тихоокеанского региона и активен как минимум с середины 2021 года. Однако в 2022 и 2023 годах его деятельность активизировалась, о чем свидетельствуют недавние атаки на правительственные и военные объекты в Юго-Восточной Азии. Использование сложных вредоносных программ, таких как KamiKakaBot, подчеркивает возможности группы и ее решимость достичь своих целей. Эти атаки представляют серьезную угрозу для национальной безопасности и подчеркивают необходимость повышенной бдительности и упреждающих мер для снижения риска кибератак.

Хакеры используют тактику фишинга и поддельные документы

Согласно недавнему отчету голландской компании по кибербезопасности EclecticIQ, в феврале 2023 года была обнаружена новая волна атак, которые очень напоминали предыдущие атаки. Однако в этой кампании было одно существенное отличие — процедура обфускации вредоносного ПО была улучшена, чтобы лучше избегать обнаружения средствами защиты от вредоносных программ.

Атаки следуют стратегии социальной инженерии, которая включает в себя отправку сообщений электронной почты, содержащих вложения файлов ISO-образа, ничего не подозревающим целям. Файл ISO-образа содержит три компонента: исполняемый файл (Winword.exe), загрузчик (MSVCR100.dll) и ложный документ Microsoft Word. Документ Word отвлекает, а загрузчик отвечает за загрузку вредоносного ПО KamiKakaBot.

Чтобы обойти защиту, загрузчик использует метод боковой загрузки DLL для загрузки KamiKakaBot в память двоичного файла Winword.exe. Этот метод позволяет вредоносному ПО обходить меры безопасности, которые в противном случае помешали бы его выполнению.

KamiKakaBot может украсть конфиденциальную информацию со взломанных устройств

KamiKakaBot — это вредоносная программа, предназначенная для проникновения в веб-браузеры и кражи конфиденциальных данных. Это вредоносное ПО также способно выполнять удаленный код с помощью командной строки (cmd.exe). Чтобы избежать обнаружения, вредоносное ПО использует сложные методы, чтобы слиться с окружением жертвы и избежать обнаружения.

Как только хост скомпрометирован, вредоносная программа сохраняет свою устойчивость, злоупотребляя вспомогательной библиотекой Winlogon для внесения вредоносных изменений в раздел реестра Windows. Это позволяет вредоносным программам оставаться незамеченными и продолжать свою вредоносную деятельность. Затем украденные данные отправляются боту Telegram в виде ZIP-архива.

По мнению экспертов по кибербезопасности, использование законных веб-сервисов, таких как Telegram, в качестве сервера управления и контроля (C2, C&C) является распространенной тактикой, используемой злоумышленниками. Такой подход усложняет обнаружение и остановку вредоносного ПО, поскольку трафик выглядит как законная связь с веб-службой. Эта тактика используется не только обычными киберпреступниками, но и продвинутыми субъектами постоянных угроз.

Учитывая растущую изощренность этих атак, организациям крайне важно принимать упреждающие меры для предотвращения кибератак. Это включает в себя внедрение надежных мер безопасности для защиты от вредоносных программ, поддержание программного обеспечения в актуальном состоянии и обучение сотрудников тому, как выявлять и избегать фишинговых атак.