KamiKakaBot

Güneydoğu Asya ülkelerinde hükümet ve askeri kuruluşları hedef alan yeni bir siber saldırı dalgası tespit edildi. Bu saldırılar, Saaiwc olarak da bilinen Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat) grubuna atfedilir. Dark Pink tarafından kullanılan özel araçlar arasında, grubun rastgele komutlar yürütmesine ve virüs bulaşmış cihazlardan hassas verileri çalmasına izin veren TelePowerBot ve KamiKakaBot bulunmaktadır.

Dark Pink'in Asya-Pasifik bölgesinden geldiğine inanılıyor ve en azından 2021'in ortalarından beri aktif. Ancak, Güneydoğu Asya'daki hükümet ve askeri kuruluşlara yönelik son saldırıların kanıtladığı gibi, faaliyetleri 2022 ve 2023'te arttı. KamiKakaBot gibi gelişmiş kötü amaçlı yazılımların kullanılması, grubun yeteneklerinin ve hedeflerine ulaşma kararlılığının altını çiziyor. Bu saldırılar, ulusal güvenlik için ciddi bir tehdit oluşturuyor ve siber saldırı riskini azaltmak için daha fazla ihtiyat ve proaktif önlemlere duyulan ihtiyacı vurguluyor.

Bilgisayar Korsanları Oltalama Taktikleri ve Dolandırıcı Belgeler Kullanıyor

Hollandalı siber güvenlik firması EclecticIQ'nun yakın tarihli bir raporuna göre, Şubat 2023'te önceki saldırılara çok benzeyen yeni bir saldırı dalgası keşfedildi. Bununla birlikte, bu kampanyada önemli bir fark vardı - kötü amaçlı yazılımın karartma rutini, kötü amaçlı yazılıma karşı önlemler tarafından tespit edilmekten daha iyi kaçınacak şekilde iyileştirildi.

Saldırılar, şüphelenmeyen hedeflere ISO görüntü dosyası ekleri içeren e-posta mesajları göndermeyi içeren bir sosyal mühendislik stratejisi izliyor. ISO görüntü dosyası üç bileşen içerir: bir yürütülebilir dosya (Winword.exe), bir yükleyici (MSVCR100.dll) ve bir sahte Microsoft Word belgesi. Word belgesi dikkat dağıtıcıdır, yükleyici ise KamiKakaBot kötü amaçlı yazılımını yüklemekten sorumludur.

Güvenlik korumalarından kaçınmak için yükleyici, KamiKakaBot'u Winword.exe ikili dosyasının belleğine yüklemek için DLL yandan yükleme yöntemini kullanır. Bu yöntem, kötü amaçlı yazılımın, aksi takdirde yürütülmesini önleyecek güvenlik önlemlerini atlamasına olanak tanır.

KamiKakaBot, İhlal Edilen Cihazlardan Hassas Bilgileri Çalabilir

KamiKakaBot, web tarayıcılarına sızmak ve hassas verileri çalmak için tasarlanmış kötü amaçlı bir yazılım programıdır. Bu kötü amaçlı yazılım, Komut İstemi'ni (cmd.exe) kullanarak uzaktan kod yürütme yeteneğine de sahiptir. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için kurbanın ortamına uyum sağlamak ve tespit edilmekten kaçınmak için gelişmiş teknikler kullanır.

Bir ana bilgisayarın güvenliği ihlal edildiğinde, kötü amaçlı yazılım, Windows Kayıt defteri anahtarında kötü amaçlı değişiklikler yapmak için Winlogon Helper kitaplığını kötüye kullanarak kalıcılık sağlar. Bu, kötü amaçlı yazılımın tespit edilmeden kalmasına ve kötü amaçlı faaliyetlerini yürütmeye devam etmesine olanak tanır. Çalınan veriler daha sonra ZIP arşivi olarak bir Telegram botuna gönderilir.

Siber güvenlik uzmanlarına göre, Telegram gibi meşru web servislerinin Komuta ve Kontrol (C2, C&C) sunucusu olarak kullanılması, tehdit aktörleri tarafından kullanılan yaygın bir taktiktir. Bu yaklaşım, trafik web hizmetiyle yasal iletişim gibi göründüğü için kötü amaçlı yazılımın algılanıp kapatılmasını zorlaştırır. Bu taktikler yalnızca normal siber suçlular tarafından değil, aynı zamanda gelişmiş kalıcı tehdit aktörleri tarafından da kullanılır.

Bu saldırıların artan karmaşıklığı göz önüne alındığında, kuruluşların siber saldırıları önlemek için proaktif önlemler alması kritik öneme sahiptir. Bu, kötü amaçlı yazılımlara karşı koruma sağlamak için sağlam güvenlik önlemlerinin uygulanmasını, yazılımların güncel tutulmasını ve çalışanların kimlik avı saldırılarını nasıl belirleyecekleri ve bunlardan kaçınacakları konusunda eğitilmesini içerir.