KamiKakaBot

Bola zistená nová vlna kybernetických útokov zameraných na vládne a vojenské organizácie v krajinách juhovýchodnej Ázie. Tieto útoky sú pripisované skupine Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), tiež známej ako Saaiwc. Medzi vlastné nástroje používané Dark Pink patria TelePowerBot a KamiKakaBot, ktoré skupine umožňujú vykonávať ľubovoľné príkazy a kradnúť citlivé údaje z infikovaných zariadení.

Predpokladá sa, že tmavá ružová pochádza z ázijsko-pacifickej oblasti a je aktívna minimálne od polovice roku 2021. Jej aktivity však eskalovali v rokoch 2022 a 2023, čo dokazujú nedávne útoky na vládne a vojenské subjekty v juhovýchodnej Ázii. Použitie sofistikovaného malvéru, akým je KamiKakaBot, podčiarkuje schopnosti a odhodlanie skupiny dosiahnuť svoje ciele. Tieto útoky predstavujú vážnu hrozbu pre národnú bezpečnosť a zdôrazňujú potrebu zvýšenej ostražitosti a proaktívnych opatrení na zmiernenie rizika kybernetických útokov.

Hackeri používajú taktiku phishingu a klamné dokumenty

Podľa nedávnej správy holandskej spoločnosti EclecticIQ pre kybernetickú bezpečnosť bola vo februári 2023 objavená nová vlna útokov, ktoré sa veľmi podobali predchádzajúcim útokom. V tejto kampani však bol jeden významný rozdiel – rutina zahmlievania malvéru bola vylepšená, aby sa lepšie zabránilo detekcii pomocou opatrení proti malvéru.

Útoky sa riadia stratégiou sociálneho inžinierstva, ktorá zahŕňa odosielanie e-mailových správ obsahujúcich prílohy obrazových súborov ISO nič netušiacim cieľom. Súbor obrazu ISO obsahuje tri súčasti: spustiteľný súbor (Winword.exe), zavádzač (MSVCR100.dll) a návnadu dokumentu Microsoft Word. Dokument Word odvádza pozornosť, zatiaľ čo nakladač je zodpovedný za načítanie malvéru KamiKakaBot.

Aby sa vyhol bezpečnostnej ochrane, zavádzač používa metódu bočného načítania DLL na načítanie KamiKakaBot do pamäte binárneho súboru Winword.exe. Táto metóda umožňuje malvéru obísť bezpečnostné opatrenia, ktoré by inak zabránili jeho spusteniu.

KamiKakaBot dokáže ukradnúť citlivé informácie z narušených zariadení

KamiKakaBot je škodlivý softvérový program určený na infiltráciu webových prehliadačov a krádež citlivých údajov. Tento malvér je tiež schopný spustiť vzdialený kód pomocou príkazového riadka (cmd.exe). Aby sa vyhol detekcii, malvér obsahuje sofistikované techniky, ktoré splynú s prostredím obete a zabránia odhaleniu.

Keď je hostiteľ napadnutý, malvér zaistí pretrvávanie zneužitím knižnice Winlogon Helper na vykonanie škodlivých úprav kľúča databázy Registry systému Windows. To umožňuje, aby malvér zostal neodhalený a pokračoval vo vykonávaní svojich škodlivých aktivít. Ukradnuté údaje sa potom odošlú do telegramového robota ako archív ZIP.

Podľa expertov na kybernetickú bezpečnosť je používanie legitímnych webových služieb, ako je Telegram, ako server Command-and-Control (C2, C&C) bežnou taktikou, ktorú používajú aktéri hrozieb. Tento prístup sťažuje detekciu a vypnutie škodlivého softvéru, pretože prenos sa javí ako legitímna komunikácia s webovou službou. Tieto taktiky využívajú nielen bežní kyberzločinci, ale aj pokročilí aktéri pretrvávajúcich hrozieb.

Vzhľadom na narastajúcu sofistikovanosť týchto útokov je pre organizácie nevyhnutné prijať proaktívne opatrenia na predchádzanie kybernetickým útokom. To zahŕňa implementáciu robustných bezpečnostných opatrení na ochranu pred malvérom, udržiavanie softvéru v aktuálnom stave a vzdelávanie zamestnancov, ako identifikovať a vyhnúť sa phishingovým útokom.