KamiKakaบอท

ตรวจพบการโจมตีทางไซเบอร์ระลอกใหม่ โดยกำหนดเป้าหมายไปที่รัฐบาลและองค์กรทางทหารในประเทศต่างๆ ในเอเชียตะวันออกเฉียงใต้ การโจมตีเหล่านี้เกิดจากกลุ่ม APTAdvanced Persistent Threat (Advanced Persistent Threat) สีชมพูเข้ม หรือที่เรียกว่า Saaiwc ในบรรดาเครื่องมือแบบกำหนดเองที่ Dark Pink ใช้ ได้แก่ TelePowerBot และ KamiKakaBot ซึ่งทำให้กลุ่มนี้สามารถดำเนินการคำสั่งตามอำเภอใจและขโมยข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ติดไวรัสได้

เชื่อกันว่าสีชมพูเข้มมีต้นกำเนิดจากภูมิภาคเอเชียแปซิฟิกและเริ่มใช้งานตั้งแต่กลางปี 2021 เป็นอย่างน้อย อย่างไรก็ตาม กิจกรรมดังกล่าวได้ทวีความรุนแรงขึ้นในปี 2565 และ 2566 โดยเห็นได้จากการโจมตีหน่วยงานของรัฐบาลและหน่วยงานทางทหารในเอเชียตะวันออกเฉียงใต้เมื่อไม่นานมานี้ การใช้มัลแวร์ที่ซับซ้อน เช่น KamiKakaBot เป็นการเน้นย้ำถึงความสามารถและความมุ่งมั่นของกลุ่มในการบรรลุวัตถุประสงค์ การโจมตีเหล่านี้เป็นภัยคุกคามร้ายแรงต่อความมั่นคงของประเทศ และเน้นย้ำถึงความจำเป็นในการเพิ่มความระมัดระวังและมาตรการเชิงรุกเพื่อลดความเสี่ยงของการโจมตีทางไซเบอร์

แฮ็กเกอร์ใช้กลยุทธ์ฟิชชิงและล่อลวงเอกสาร

จากรายงานล่าสุดจาก EclecticIQ บริษัทรักษาความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ พบว่ามีการค้นพบระลอกใหม่ในเดือนกุมภาพันธ์ พ.ศ. 2566 ซึ่งคล้ายกับการโจมตีครั้งก่อนอย่างมาก อย่างไรก็ตาม มีความแตกต่างที่สำคัญอย่างหนึ่งในแคมเปญนี้ นั่นคือ รูทีนการทำให้สับสนของมัลแวร์ได้รับการปรับปรุงเพื่อหลีกเลี่ยงการตรวจจับด้วยมาตรการต่อต้านมัลแวร์ได้ดียิ่งขึ้น

การโจมตีเป็นไปตามกลยุทธ์วิศวกรรมสังคมที่เกี่ยวข้องกับการส่งข้อความอีเมลที่มีไฟล์ภาพ ISO แนบไปยังเป้าหมายที่ไม่สงสัย ไฟล์อิมเมจ ISO มีองค์ประกอบสามส่วน: ไฟล์ปฏิบัติการ (Winword.exe), ตัวโหลด (MSVCR100.dll) และเอกสาร Microsoft Word ที่ล่อลวง เอกสาร Word เป็นสิ่งที่ทำให้ไขว้เขว ในขณะที่ตัวโหลดมีหน้าที่โหลดมัลแวร์ KamiKakaBot

เพื่อหลบเลี่ยงการป้องกันความปลอดภัย ตัวโหลดใช้วิธีโหลดด้านข้าง DLL เพื่อโหลด KamiKakaBot ลงในหน่วยความจำของไบนารี Winword.exe วิธีนี้ช่วยให้มัลแวร์สามารถข้ามมาตรการรักษาความปลอดภัยที่จะป้องกันไม่ให้ดำเนินการได้

KamiKakaBot สามารถขโมยข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ถูกละเมิด

KamiKakaBot เป็นโปรแกรมซอฟต์แวร์อันตรายที่ออกแบบมาเพื่อแทรกซึมเว็บเบราว์เซอร์และขโมยข้อมูลที่ละเอียดอ่อน มัลแวร์นี้ยังสามารถรันโค้ดระยะไกลโดยใช้ Command Prompt (cmd.exe) เพื่อหลบเลี่ยงการตรวจจับ มัลแวร์ได้รวมเทคนิคที่ซับซ้อนเพื่อให้กลมกลืนกับสภาพแวดล้อมของเหยื่อและหลีกเลี่ยงการตรวจจับ

เมื่อโฮสต์ถูกบุกรุก มัลแวร์จะสร้างการคงอยู่โดยการใช้ไลบรารี Winlogon Helper ในทางที่ผิดเพื่อทำการแก้ไขที่เป็นอันตรายกับคีย์รีจิสทรีของ Windows สิ่งนี้ทำให้มัลแวร์ไม่ถูกตรวจจับและดำเนินกิจกรรมที่เป็นอันตรายต่อไป ข้อมูลที่ถูกขโมยจะถูกส่งไปยังบอท Telegram เป็นไฟล์ ZIP

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าวว่าการใช้บริการเว็บที่ถูกกฎหมาย เช่น Telegram เป็นเซิร์ฟเวอร์ Command-and-Control (C2, C&C) เป็นกลยุทธ์ทั่วไปที่ผู้คุกคามใช้ วิธีการนี้ทำให้ตรวจจับและปิดมัลแวร์ได้ยากขึ้น เนื่องจากทราฟฟิกดูเหมือนจะเป็นการสื่อสารที่ถูกต้องกับบริการเว็บ กลยุทธ์เหล่านี้ไม่เพียงถูกใช้โดยอาชญากรไซเบอร์ทั่วไปเท่านั้น แต่ยังใช้กับผู้คุกคามขั้นสูงอย่างต่อเนื่องอีกด้วย

จากความซับซ้อนที่เพิ่มขึ้นของการโจมตีเหล่านี้ องค์กรต่างๆ จึงจำเป็นอย่างยิ่งที่จะต้องดำเนินมาตรการเชิงรุกเพื่อป้องกันการโจมตีทางไซเบอร์ ซึ่งรวมถึงการใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งเพื่อป้องกันมัลแวร์ การปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอ และการให้ความรู้แก่พนักงานเกี่ยวกับวิธีการระบุและหลีกเลี่ยงการโจมตีแบบฟิชชิ่ง