神卡卡机器人

检测到新一波网络攻击，目标是东南亚国家的政府和军事组织。这些攻击归因于深粉色 APTAdvanced Persistent Threat（高级持续威胁）组织，也称为 Saaiwc。 Dark Pink 使用的自定义工具包括 TelePowerBot 和 KamiKakaBot，它们允许该组织执行任意命令并从受感染的设备中窃取敏感数据。

据信，深粉色起源于亚太地区，至少从 2021 年年中开始活跃。然而，其活动在 2022 年和 2023 年升级，最近对东南亚政府和军事实体的袭击就是明证。使用 KamiKakaBot 等复杂恶意软件凸显了该组织实现其目标的能力和决心。这些攻击对国家安全构成严重威胁，并突出表明需要提高警惕并采取积极措施来降低网络攻击的风险。

黑客使用网络钓鱼策略和诱饵文件

根据荷兰网络安全公司 EclecticIQ 最近的一份报告，2023 年 2 月发现了新一波攻击，与之前的攻击非常相似。但是，此活动有一个显着差异 - 改进了恶意软件的混淆程序，以更好地避免被反恶意软件措施检测到。

这些攻击遵循社会工程策略，涉及向毫无戒心的目标发送包含 ISO 映像文件附件的电子邮件。 ISO 映像文件包含三个组件：可执行文件 (Winword.exe)、加载程序 (MSVCR100.dll) 和诱饵 Microsoft Word 文档。 Word 文档会分散注意力，而加载程序负责加载 KamiKakaBot 恶意软件。

为了规避安全保护，加载程序使用 DLL 侧加载方法将 KamiKakaBot 加载到 Winword.exe 二进制文件的内存中。此方法允许恶意软件绕过会阻止其执行的安全措施。

KamiKakaBot 可以从被入侵的设备中窃取敏感信息

KamiKakaBot 是一种恶意软件程序，旨在渗透网络浏览器并窃取敏感数据。该恶意软件还能够使用命令提示符 (cmd.exe) 执行远程代码。为了逃避检测，恶意软件采用了复杂的技术来融入受害者的环境并避免检测。

一旦主机受到威胁，恶意软件就会通过滥用 Winlogon Helper 库对 Windows 注册表项进行恶意修改来建立持久性。这允许恶意软件保持未被发现并继续执行其恶意活动。然后将被盗数据作为 ZIP 存档发送到 Telegram 机器人。

据网络安全专家称，使用合法的 Web 服务（例如 Telegram）作为命令和控制（C2，C＆C）服务器是威胁参与者使用的一种常见策略。这种方法使得检测和关闭恶意软件变得更加困难，因为流量似乎是与 Web 服务的合法通信。这些策略不仅被常规的网络犯罪分子使用，也被高级的持续威胁行为者使用。

鉴于这些攻击越来越复杂，组织采取主动措施来防止网络攻击至关重要。这包括实施强大的安全措施来防范恶意软件、保持软件为最新版本，以及教育员工如何识别和避免网络钓鱼攻击。