Threat Database Malware KamiKakaBot

KamiKakaBot

Một làn sóng tấn công mạng mới đã được phát hiện nhắm vào các tổ chức chính phủ và quân đội ở các nước Đông Nam Á. Các cuộc tấn công này được quy cho nhóm Dark Pink APTAdvanced Persistent Threat (Đe dọa dai dẳng nâng cao), còn được gọi là Saaiwc. Trong số các công cụ tùy chỉnh được Dark Pink sử dụng có TelePowerBot và KamiKakaBot, cho phép nhóm thực thi các lệnh tùy ý và đánh cắp dữ liệu nhạy cảm từ các thiết bị bị nhiễm.

Dark Pink được cho là có nguồn gốc từ khu vực châu Á - Thái Bình Dương và đã hoạt động ít nhất là từ giữa năm 2021. Tuy nhiên, các hoạt động của nó đã leo thang vào năm 2022 và 2023, bằng chứng là các cuộc tấn công gần đây vào các tổ chức chính phủ và quân đội ở Đông Nam Á. Việc sử dụng phần mềm độc hại tinh vi như KamiKakaBot nhấn mạnh khả năng và quyết tâm đạt được mục tiêu của nhóm. Những cuộc tấn công này đặt ra mối đe dọa nghiêm trọng đối với an ninh quốc gia và nhấn mạnh sự cần thiết phải nâng cao cảnh giác và các biện pháp chủ động để giảm thiểu rủi ro của các cuộc tấn công mạng.

Tin tặc sử dụng chiến thuật lừa đảo và tài liệu mồi nhử

Theo một báo cáo gần đây từ công ty an ninh mạng Hà Lan EclecticIQ, một làn sóng tấn công mới đã được phát hiện vào tháng 2 năm 2023 gần giống với các cuộc tấn công trước đó. Tuy nhiên, có một điểm khác biệt đáng kể trong chiến dịch này - quy trình che giấu phần mềm độc hại đã được cải thiện để tránh bị các biện pháp chống phần mềm độc hại phát hiện tốt hơn.

Các cuộc tấn công tuân theo một chiến lược kỹ thuật xã hội liên quan đến việc gửi các email có chứa tệp đính kèm tệp hình ảnh ISO đến các mục tiêu không nghi ngờ. Tệp hình ảnh ISO chứa ba thành phần: tệp thực thi (Winword.exe), trình tải (MSVCR100.dll) và tài liệu Microsoft Word giả. Tài liệu Word gây mất tập trung, trong khi trình tải chịu trách nhiệm tải phần mềm độc hại KamiKakaBot.

Để trốn tránh các biện pháp bảo vệ, trình tải sử dụng phương pháp tải bên DLL để tải KamiKakaBot vào bộ nhớ của tệp nhị phân Winword.exe. Phương pháp này cho phép phần mềm độc hại vượt qua các biện pháp bảo mật có thể ngăn phần mềm thực thi.

KamiKakaBot có thể đánh cắp thông tin nhạy cảm từ các thiết bị bị vi phạm

KamiKakaBot là một chương trình phần mềm độc hại được thiết kế để xâm nhập vào trình duyệt web và đánh cắp dữ liệu nhạy cảm. Phần mềm độc hại này cũng có khả năng thực thi mã từ xa bằng Command Prompt (cmd.exe). Để tránh bị phát hiện, phần mềm độc hại kết hợp các kỹ thuật tinh vi để hòa nhập với môi trường của nạn nhân và tránh bị phát hiện.

Sau khi máy chủ bị xâm phạm, phần mềm độc hại sẽ thiết lập sự tồn tại bằng cách lạm dụng thư viện Trình trợ giúp Winlogon để thực hiện các sửa đổi độc hại đối với khóa Windows Registry. Điều này cho phép phần mềm độc hại không bị phát hiện và tiếp tục thực hiện các hoạt động độc hại của nó. Dữ liệu bị đánh cắp sau đó được gửi đến bot Telegram dưới dạng kho lưu trữ ZIP.

Theo các chuyên gia an ninh mạng, việc sử dụng các dịch vụ web hợp pháp như Telegram làm máy chủ Command-and-Control (C2, C&C) là một chiến thuật phổ biến được các tác nhân đe dọa sử dụng. Cách tiếp cận này khiến việc phát hiện và tắt phần mềm độc hại trở nên khó khăn hơn vì lưu lượng truy cập dường như là giao tiếp hợp pháp với dịch vụ web. Những chiến thuật này không chỉ được sử dụng bởi tội phạm mạng thông thường mà còn bởi các tác nhân đe dọa dai dẳng tiên tiến.

Với mức độ tinh vi ngày càng tăng của các cuộc tấn công này, điều quan trọng là các tổ chức phải thực hiện các biện pháp chủ động để ngăn chặn các cuộc tấn công mạng. Điều này bao gồm triển khai các biện pháp bảo mật mạnh mẽ để bảo vệ khỏi phần mềm độc hại, luôn cập nhật phần mềm và hướng dẫn nhân viên cách xác định và tránh các cuộc tấn công lừa đảo.

xu hướng

Xem nhiều nhất

Đang tải...