Threat Database Malware KamiKakaBot

KamiKakaBot

Zaznan je bil nov val kibernetskih napadov, usmerjenih na vladne in vojaške organizacije v državah jugovzhodne Azije. Ti napadi so pripisani skupini Temno roza APTAdvanced Persistent Threat (Advanced Persistent Threat), znani tudi kot Saaiwc. Med orodji po meri, ki jih uporablja Dark Pink, sta TelePowerBot in KamiKakaBot, ki skupini omogočata izvajanje poljubnih ukazov in krajo občutljivih podatkov iz okuženih naprav.

Temno roza naj bi izvirala iz azijsko-pacifiške regije in je aktivna vsaj od sredine leta 2021. Vendar pa so se njegove dejavnosti v letih 2022 in 2023 stopnjevale, kar dokazujejo nedavni napadi na vladne in vojaške subjekte v jugovzhodni Aziji. Uporaba sofisticirane zlonamerne programske opreme, kot je KamiKakaBot, poudarja zmožnosti in odločenost skupine, da doseže svoje cilje. Ti napadi predstavljajo resno grožnjo nacionalni varnosti in poudarjajo potrebo po povečani pazljivosti in proaktivnih ukrepih za zmanjšanje tveganja kibernetskih napadov.

Hekerji uporabljajo taktike lažnega predstavljanja in zavajajo dokumente

Po nedavnem poročilu nizozemskega podjetja za kibernetsko varnost EclecticIQ je bil februarja 2023 odkrit nov val napadov, ki je bil zelo podoben prejšnjim napadom. Vendar pa je bila v tej kampanji ena pomembna razlika - rutina zakrivanja zlonamerne programske opreme je bila izboljšana, da bi se bolje izognili odkrivanju z ukrepi proti zlonamerni programski opremi.

Napadi sledijo strategiji družbenega inženiringa, ki vključuje pošiljanje e-poštnih sporočil s priponkami ISO slikovnih datotek nič hudega slutečim tarčam. Slikovna datoteka ISO vsebuje tri komponente: izvršljivo datoteko (Winword.exe), nalagalnik (MSVCR100.dll) in dokument Microsoft Word za vabo. Wordov dokument je moteč, medtem ko je nalagalnik odgovoren za nalaganje zlonamerne programske opreme KamiKakaBot.

Da bi se izognil varnostni zaščiti, nalagalnik uporablja metodo stranskega nalaganja DLL za nalaganje KamiKakaBot v pomnilnik binarne datoteke Winword.exe. Ta metoda omogoča zlonamerni programski opremi, da obide varnostne ukrepe, ki bi sicer preprečili njeno izvajanje.

KamiKakaBot lahko ukrade občutljive podatke iz vdora v naprave

KamiKakaBot je zlonamerna programska oprema, namenjena infiltraciji v spletne brskalnike in kraji občutljivih podatkov. Ta zlonamerna programska oprema lahko tudi izvaja oddaljeno kodo z uporabo ukaznega poziva (cmd.exe). Da bi se izognili odkrivanju, zlonamerna programska oprema vključuje sofisticirane tehnike, s katerimi se zlije z žrtvinim okoljem in se izogne odkrivanju.

Ko je gostitelj ogrožen, zlonamerna programska oprema vzpostavi obstojnost tako, da zlorabi knjižnico Winlogon Helper, da zlonamerno spremeni ključ registra Windows. To omogoča, da zlonamerna programska oprema ostane neodkrita in nadaljuje z izvajanjem zlonamernih dejavnosti. Ukradeni podatki se nato pošljejo botu Telegram kot arhiv ZIP.

Po mnenju strokovnjakov za kibernetsko varnost je uporaba zakonitih spletnih storitev, kot je Telegram, kot strežnik za ukazovanje in nadzor (C2, C&C) pogosta taktika akterjev groženj. Ta pristop oteži odkrivanje in zaustavitev zlonamerne programske opreme, saj se zdi, da je promet legitimna komunikacija s spletno storitvijo. Te taktike ne uporabljajo samo navadni kibernetski kriminalci, temveč tudi napredni akterji vztrajnih groženj.

Glede na vse večjo sofisticiranost teh napadov je ključnega pomena, da organizacije sprejmejo proaktivne ukrepe za preprečevanje kibernetskih napadov. To vključuje izvajanje robustnih varnostnih ukrepov za zaščito pred zlonamerno programsko opremo, posodabljanje programske opreme in izobraževanje zaposlenih o tem, kako prepoznati napade lažnega predstavljanja in se jim izogniti.

V trendu

Najbolj gledan

Nalaganje...