KamiKakaBot

En ny våg av cyberattacker har upptäckts, riktade mot regeringar och militära organisationer i sydostasiatiska länder. Dessa attacker tillskrivs gruppen Dark Pink APTAadvanced Persistent Threat (Advanced Persistent Threat), även känd som Saaiwc. Bland de anpassade verktyg som används av Dark Pink är TelePowerBot och KamiKakaBot, som gör att gruppen kan utföra godtyckliga kommandon och stjäla känslig data från de infekterade enheterna.

Mörkrosa tros komma från Asien-Stillahavsområdet och har varit aktiv sedan åtminstone mitten av 2021. Dess aktiviteter eskalerade dock under 2022 och 2023, vilket framgår av de senaste attackerna mot regeringar och militära enheter i Sydostasien. Användningen av sofistikerad skadlig programvara som KamiKakaBot understryker gruppens förmåga och beslutsamhet att uppnå sina mål. Dessa attacker utgör ett allvarligt hot mot den nationella säkerheten och belyser behovet av ökad vaksamhet och proaktiva åtgärder för att minska risken för cyberattacker.

Hackarna använder nätfisketaktik och lockdokument

Enligt en färsk rapport från det holländska cybersäkerhetsföretaget EclecticIQ upptäcktes en ny våg av attacker i februari 2023 som liknade tidigare attacker. Det fanns dock en betydande skillnad i den här kampanjen - skadlig programvaras fördunklingsrutin förbättrades för att bättre undvika upptäckt genom åtgärder mot skadlig programvara.

Attackerna följer en social ingenjörsstrategi som går ut på att skicka e-postmeddelanden som innehåller bilagor till ISO-bildfiler till intet ont anande mål. ISO-bildfilen innehåller tre komponenter: en körbar fil (Winword.exe), en laddare (MSVCR100.dll) och ett Microsoft Word-dokument. Word-dokumentet är en distraktion, medan laddaren är ansvarig för att ladda KamiKakaBot malware.

För att undvika säkerhetsskydd använder laddaren DLL-sidoladdningsmetoden för att ladda KamiKakaBot i minnet av Winword.exe-binären. Den här metoden tillåter skadlig programvara att kringgå säkerhetsåtgärder som annars skulle hindra den från att köras.

KamiKakaBot kan stjäla känslig information från de intrångade enheterna

KamiKakaBot är ett skadligt program utformat för att infiltrera webbläsare och stjäla känslig data. Denna skadliga programvara kan också köra fjärrkod med kommandotolken (cmd.exe). För att undvika upptäckt innehåller skadlig programvara sofistikerade tekniker för att smälta in i offrets miljö och undvika upptäckt.

När en värd väl har äventyrats, etablerar skadlig programvara uthållighet genom att missbruka Winlogon Helper-biblioteket för att göra skadliga ändringar av Windows registernyckel. Detta gör att skadlig programvara förblir oupptäckt och fortsätter att utföra sina skadliga aktiviteter. Den stulna informationen skickas sedan till en Telegram-bot som ett ZIP-arkiv.

Enligt cybersäkerhetsexperter är användningen av legitima webbtjänster som Telegram som en Command-and-Control-server (C2, C&C) en vanlig taktik som används av hotaktörer. Detta tillvägagångssätt gör det svårare att upptäcka och stänga av skadlig programvara, eftersom trafiken verkar vara legitim kommunikation med webbtjänsten. Denna taktik används inte bara av vanliga cyberkriminella utan också av avancerade ihållande hotaktörer.

Med tanke på den ökande sofistikeringen av dessa attacker är det avgörande för organisationer att vidta proaktiva åtgärder för att förhindra cyberattacker. Detta inkluderar att implementera robusta säkerhetsåtgärder för att skydda mot skadlig programvara, att hålla programvaran uppdaterad och att utbilda anställda om hur man identifierar och undviker nätfiskeattacker.