KamiKakaBot
Виявлено нову хвилю кібератак, націлених на урядові та військові організації в країнах Південно-Східної Азії. Ці атаки відносять до групи Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), також відомої як Saaiwc. Серед спеціальних інструментів, які використовує Dark Pink, є TelePowerBot і KamiKakaBot, які дозволяють групі виконувати довільні команди та викрадати конфіденційні дані з заражених пристроїв.
Темно-рожевий, як вважають, походить з Азіатсько-Тихоокеанського регіону та активний принаймні з середини 2021 року. Однак у 2022 і 2023 роках його діяльність посилилася, про що свідчать нещодавні атаки на урядові та військові структури в Південно-Східній Азії. Використання складного шкідливого програмного забезпечення, такого як KamiKakaBot, підкреслює можливості та рішучість групи досягти своїх цілей. Ці атаки становлять серйозну загрозу національній безпеці та підкреслюють необхідність підвищеної пильності та профілактичних заходів для зменшення ризику кібератак.
Хакери використовують тактику фішингу та обманюють документи
Згідно з нещодавнім звітом голландської фірми з кібербезпеки EclecticIQ, у лютому 2023 року була виявлена нова хвиля атак, яка дуже нагадувала попередні атаки. Однак у цій кампанії була одна суттєва відмінність: процедуру обфускації шкідливого програмного забезпечення було вдосконалено, щоб краще уникнути виявлення засобами захисту від шкідливого програмного забезпечення.
Атаки відбуваються за стратегією соціальної інженерії, яка передбачає надсилання повідомлень електронної пошти, що містять вкладені файли ISO-образу, нічого не підозрюючим цілям. Файл образу ISO містить три компоненти: виконуваний файл (Winword.exe), завантажувач (MSVCR100.dll) і документ-приманка Microsoft Word. Документ Word відволікає увагу, а завантажувач відповідає за завантаження шкідливого програмного забезпечення KamiKakaBot.
Щоб уникнути заходів безпеки, завантажувач використовує метод бокового завантаження DLL для завантаження KamiKakaBot у пам’ять двійкового файлу Winword.exe. Цей метод дозволяє зловмисному програмному забезпеченню обійти заходи безпеки, які інакше перешкоджали б його запуску.
KamiKakaBot може викрасти конфіденційну інформацію зі зламаних пристроїв
KamiKakaBot — це шкідлива програма, призначена для проникнення у веб-браузери та викрадення конфіденційних даних. Ця шкідлива програма також здатна виконувати віддалений код за допомогою командного рядка (cmd.exe). Щоб уникнути виявлення, зловмисне програмне забезпечення використовує складні методи, щоб злитися з середовищем жертви та уникнути виявлення.
Після того, як хост скомпрометовано, зловмисне програмне забезпечення встановлює стійкість, зловживаючи бібліотекою Winlogon Helper для внесення зловмисних змін до розділу реєстру Windows. Це дозволяє зловмисному програмному забезпеченню залишатися непоміченим і продовжувати здійснювати свої шкідливі дії. Потім викрадені дані надсилаються боту Telegram у вигляді ZIP-архіву.
За словами експертів з кібербезпеки, використання легітимних веб-сервісів, таких як Telegram, як командно-контрольний сервер (C2, C&C) є поширеною тактикою, яку використовують зловмисники. Такий підхід ускладнює виявлення та закриття зловмисного програмного забезпечення, оскільки трафік виглядає як законний зв’язок із веб-службою. Цю тактику використовують не лише звичайні кіберзлочинці, а й досвідчені постійні загрози.
Враховуючи зростаючу складність цих атак, організаціям важливо вживати профілактичних заходів для запобігання кібератакам. Це включає в себе впровадження надійних заходів безпеки для захисту від зловмисного програмного забезпечення, підтримку програмного забезпечення в актуальному стані та навчання співробітників тому, як виявляти та уникати фішингових атак.
