KamiKakaBot
Është zbuluar një valë e re sulmesh kibernetike, duke synuar qeverinë dhe organizatat ushtarake në vendet e Azisë Juglindore. Këto sulme i atribuohen grupit Dark Pink APTAdvanced Persistent Threat (Kërcënimi i Përparuar i Përparuar), i njohur gjithashtu si Saaiwc. Ndër mjetet e personalizuara të përdorura nga Dark Pink janë TelePowerBot dhe KamiKakaBot, të cilat lejojnë grupin të ekzekutojë komanda arbitrare dhe të vjedhë të dhëna të ndjeshme nga pajisjet e infektuara.
Pink i errët besohet se e ka origjinën nga rajoni Azi-Paqësor dhe ka qenë aktiv të paktën që nga mesi i vitit 2021. Megjithatë, aktivitetet e saj u përshkallëzuan në 2022 dhe 2023, siç dëshmohet nga sulmet e fundit ndaj enteve qeveritare dhe ushtarake në Azinë Juglindore. Përdorimi i malware të sofistikuar si KamiKakaBot nënvizon aftësitë dhe vendosmërinë e grupit për të arritur objektivat e tij. Këto sulme përbëjnë një kërcënim serioz për sigurinë kombëtare dhe nxjerrin në pah nevojën për vigjilencë të shtuar dhe masa proaktive për të zbutur rrezikun e sulmeve kibernetike.
Hakerët përdorin taktikat e phishing dhe dokumentet e mashtrimit
Sipas një raporti të fundit nga firma holandeze e sigurisë kibernetike EclecticIQ, një valë e re sulmesh u zbulua në shkurt 2023 që ngjante shumë me sulmet e mëparshme. Sidoqoftë, kishte një ndryshim domethënës në këtë fushatë - rutina e mjegullimit të malware u përmirësua për të shmangur më mirë zbulimin nga masat kundër malware.
Sulmet ndjekin një strategji të inxhinierisë sociale që përfshin dërgimin e mesazheve me email që përmbajnë bashkëngjitje të skedarëve të imazhit ISO drejt objektivave që nuk dyshojnë. Skedari i imazhit ISO përmban tre komponentë: një të ekzekutueshëm (Winword.exe), një ngarkues (MSVCR100.dll) dhe një dokument të Microsoft Word-it. Dokumenti Word është një shpërqendrim, ndërsa ngarkuesi është përgjegjës për ngarkimin e malware KamiKakaBot.
Për të shmangur mbrojtjet e sigurisë, ngarkuesi përdor metodën e ngarkimit anësor DLL për të ngarkuar KamiKakaBot në memorien e binarit Winword.exe. Kjo metodë lejon që malware të anashkalojë masat e sigurisë që përndryshe do ta pengonin atë nga ekzekutimi.
KamiKakaBot mund të vjedhë informacione të ndjeshme nga pajisjet e dëmtuara
KamiKakaBot është një program softuerik me qëllim të keq i krijuar për të depërtuar në shfletues të internetit dhe për të vjedhur të dhëna të ndjeshme. Ky malware është gjithashtu i aftë të ekzekutojë kodin në distancë duke përdorur Command Prompt (cmd.exe). Për të shmangur zbulimin, malware përfshin teknika të sofistikuara për t'u përzier me mjedisin e viktimës dhe për të shmangur zbulimin.
Pasi një host komprometohet, malware krijon qëndrueshmëri duke abuzuar me bibliotekën Winlogon Helper për të bërë modifikime me qëllim të keq në çelësin e Regjistrit të Windows. Kjo lejon që malware të mbetet i pazbuluar dhe të vazhdojë të kryejë aktivitetet e tij me qëllim të keq. Të dhënat e vjedhura më pas dërgohen në një bot Telegram si një arkiv ZIP.
Sipas ekspertëve të sigurisë kibernetike, përdorimi i shërbimeve legjitime të ueb-it, si Telegrami si server i komandës dhe kontrollit (C2, C&C) është një taktikë e zakonshme e përdorur nga aktorët e kërcënimit. Kjo qasje e bën më të vështirë zbulimin dhe mbylljen e malware, pasi trafiku duket të jetë komunikim legjitim me shërbimin në internet. Këto taktika përdoren jo vetëm nga kriminelët e rregullt kibernetikë, por edhe nga aktorë të avancuar të kërcënimeve të vazhdueshme.
Duke pasur parasysh sofistikimin në rritje të këtyre sulmeve, është thelbësore që organizatat të marrin masa proaktive për të parandaluar sulmet kibernetike. Kjo përfshin zbatimin e masave të fuqishme të sigurisë për të mbrojtur kundër malware, mbajtjen e softuerit të përditësuar dhe edukimin e punonjësve se si të identifikojnë dhe shmangin sulmet e phishing.
