Threat Database Malware КамиКакаБот

КамиКакаБот

Откривен је нови талас сајбер напада који циљају на владине и војне организације у земљама југоисточне Азије. Ови напади се приписују групи Дарк Пинк АПАдванцед Персистент Тхреат (Адванцед Персистент Тхреат), такође познатој као Сааивц. Међу прилагођеним алатима које користи Дарк Пинк су ТелеПоверБот и КамиКакаБот, који омогућавају групи да извршава произвољне команде и краде осетљиве податке са заражених уређаја.

Верује се да тамно ружичаста потиче из азијско-пацифичког региона и да је активна најмање од средине 2021. Међутим, његове активности су ескалирале 2022. и 2023. године, о чему сведоче недавни напади на владине и војне ентитете у југоисточној Азији. Употреба софистицираног малвера као што је КамиКакаБот наглашава способности и одлучност групе да постигне своје циљеве. Ови напади представљају озбиљну претњу националној безбедности и истичу потребу за повећаном будношћу и проактивним мерама за ублажавање ризика од сајбер напада.

Хакери користе тактику пхисхинга и лажне документе

Према недавном извештају холандске фирме за сајбер безбедност ЕцлецтицИК, у фебруару 2023. откривен је нови талас напада који је веома личио на претходне нападе. Међутим, постојала је једна значајна разлика у овој кампањи – рутина прикривања малвера је побољшана како би се боље избегло откривање мерама против малвера.

Напади прате стратегију друштвеног инжењеринга која укључује слање порука е-поште које садрже приложене датотеке ИСО слике до несуђених циљева. Датотека ИСО слике садржи три компоненте: извршни (Винворд.еке), учитавач (МСВЦР100.длл) и лажни Мицрософт Ворд документ. Ворд документ одвлачи пажњу, док је учитавач одговоран за учитавање злонамерног софтвера КамиКакаБот.

Да би избегао безбедносну заштиту, учитавач користи метод бочног учитавања ДЛЛ-а да учита КамиКакаБот у меморију бинарне датотеке Винворд.еке. Овај метод омогућава злонамерном софтверу да заобиђе мере безбедности које би иначе спречиле његово извршавање.

КамиКакаБот може украсти осетљиве информације са оштећених уређаја

КамиКакаБот је злонамерни софтверски програм дизајниран да се инфилтрира у веб прегледаче и краде осетљиве податке. Овај злонамерни софтвер такође може да изврши даљински код помоћу командне линије (цмд.еке). Да би избегао откривање, злонамерни софтвер укључује софистициране технике да се уклопи у окружење жртве и избегне откривање.

Једном када је хост компромитован, злонамерни софтвер успоставља постојаност злоупотребљавајући библиотеку Винлогон Хелпер да би направио злонамерне модификације кључа Виндовс Регистри. Ово омогућава малверу да остане неоткривен и настави да обавља своје злонамерне активности. Украдени подаци се затим шаљу Телеграм боту као ЗИП архива.

Према експертима за сајбер безбедност, коришћење легитимних веб сервиса као што је Телеграм као сервера за команду и контролу (Ц2, Ц&Ц) је уобичајена тактика коју користе актери претњи. Овај приступ отежава откривање и искључивање малвера, јер се чини да је саобраћај легитимна комуникација са веб услугом. Ову тактику користе не само обични сајбер криминалци, већ и напредни актери упорних претњи.

С обзиром на растућу софистицираност ових напада, од кључне је важности за организације да предузму проактивне мере за спречавање сајбер напада. Ово укључује примену робусних безбедносних мера за заштиту од малвера, ажурирање софтвера и едукацију запослених о томе како да идентификују и избегну пхисхинг нападе.

У тренду

Најгледанији

Учитавање...