KamiKakaBot
May nakitang bagong alon ng cyberattacks, na nagta-target sa mga organisasyon ng gobyerno at militar sa mga bansa sa Southeast Asia. Ang mga pag-atake na ito ay nauugnay sa Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat) na grupo, na kilala rin bilang Saaiwc. Kabilang sa mga custom na tool na ginagamit ng Dark Pink ay ang TelePowerBot at KamiKakaBot, na nagpapahintulot sa grupo na magsagawa ng mga arbitrary na command at magnakaw ng sensitibong data mula sa mga nahawaang device.
Ang Dark Pink ay pinaniniwalaang nagmula sa rehiyon ng Asia-Pacific at naging aktibo mula pa noong kalagitnaan ng 2021. Gayunpaman, tumaas ang mga aktibidad nito noong 2022 at 2023, bilang ebidensya ng kamakailang pag-atake sa mga entidad ng gobyerno at militar sa Southeast Asia. Ang paggamit ng sopistikadong malware gaya ng KamiKakaBot ay binibigyang-diin ang mga kakayahan at determinasyon ng grupo na makamit ang mga layunin nito. Ang mga pag-atakeng ito ay nagdudulot ng seryosong banta sa pambansang seguridad at binibigyang-diin ang pangangailangan para sa mas mataas na pagbabantay at mga proactive na hakbang upang mabawasan ang panganib ng cyberattacks.
Gumagamit ang mga Hacker ng Phishing Tactics at Decoy Documents
Ayon sa isang kamakailang ulat mula sa Dutch cybersecurity firm na EclecticIQ, isang bagong wave ng mga pag-atake ang natuklasan noong Pebrero 2023 na halos kapareho ng mga nakaraang pag-atake. Gayunpaman, mayroong isang makabuluhang pagkakaiba sa kampanyang ito - ang gawain ng obfuscation ng malware ay pinabuting upang mas maiwasan ang pagtuklas ng mga hakbang laban sa malware.
Ang mga pag-atake ay sumusunod sa isang diskarte sa social engineering na nagsasangkot ng pagpapadala ng mga mensaheng email na naglalaman ng mga attachment ng ISO image file sa mga hindi inaasahang target. Ang ISO image file ay naglalaman ng tatlong bahagi: isang executable (Winword.exe), isang loader (MSVCR100.dll), at isang decoy na dokumento ng Microsoft Word. Ang dokumento ng Word ay isang nakakagambala, habang ang loader ang may pananagutan sa pag-load ng KamiKakaBot malware.
Upang maiwasan ang mga proteksyon sa seguridad, ginagamit ng loader ang DLL side-loading na paraan upang i-load ang KamiKakaBot sa memorya ng Winword.exe binary. Ang pamamaraang ito ay nagbibigay-daan sa malware na i-bypass ang mga hakbang sa seguridad na kung hindi man ay mapipigilan ito sa pagpapatupad.
Ang KamiKakaBot ay Maaaring Magnakaw ng Sensitibong Impormasyon mula sa Mga Nilabag na Device
Ang KamiKakaBot ay isang malisyosong software program na idinisenyo upang makalusot sa mga web browser at magnakaw ng sensitibong data. Ang malware na ito ay may kakayahang mag-execute ng remote code gamit ang Command Prompt (cmd.exe). Upang makaiwas sa pagtuklas, isinasama ng malware ang mga sopistikadong pamamaraan upang makihalubilo sa kapaligiran ng biktima at maiwasan ang pagtuklas.
Kapag nakompromiso ang isang host, ang malware ay nagtatatag ng pagtitiyaga sa pamamagitan ng pag-abuso sa library ng Winlogon Helper upang gumawa ng mga nakakahamak na pagbabago sa Windows Registry key. Nagbibigay-daan ito sa malware na manatiling hindi natukoy at patuloy na isagawa ang mga nakakahamak na aktibidad nito. Ang ninakaw na data ay ipapadala sa isang Telegram bot bilang isang ZIP archive.
Ayon sa mga eksperto sa cybersecurity, ang paggamit ng mga lehitimong serbisyo sa web tulad ng Telegram bilang isang Command-and-Control (C2, C&C) server ay isang karaniwang taktika na ginagamit ng mga aktor ng pagbabanta. Ang diskarte na ito ay ginagawang mas mahirap na matukoy at isara ang malware, dahil ang trapiko ay mukhang lehitimong komunikasyon sa serbisyo sa web. Ang mga taktika na ito ay ginagamit hindi lamang ng mga regular na cybercriminal kundi pati na rin ng mga advanced na patuloy na banta ng aktor.
Dahil sa dumaraming pagiging sopistikado ng mga pag-atakeng ito, kritikal para sa mga organisasyon na gumawa ng mga proactive na hakbang upang maiwasan ang mga cyberattack. Kabilang dito ang pagpapatupad ng matatag na mga hakbang sa seguridad upang maprotektahan laban sa malware, panatilihing napapanahon ang software, at pagtuturo sa mga empleyado kung paano matukoy at maiwasan ang mga pag-atake ng phishing.
