Threat Database Malware 神卡卡機器人

神卡卡機器人

檢測到新一波網絡攻擊,目標是東南亞國家的政府和軍事組織。這些攻擊歸因於深粉色 APTAdvanced Persistent Threat(高級持續威脅)組織,也稱為 Saaiwc。 Dark Pink 使用的自定義工具包括 TelePowerBot 和 KamiKakaBot,它們允許該組織執行任意命令並從受感染的設備中竊取敏感數據。

據信,深粉色起源於亞太地區,至少從 2021 年年中開始活躍。然而,其活動在 2022 年和 2023 年升級,最近對東南亞政府和軍事實體的襲擊就是明證。使用 KamiKakaBot 等複雜惡意軟件凸顯了該組織實現其目標的能力和決心。這些攻擊對國家安全構成嚴重威脅,並突出表明需要提高警惕並採取積極措施來降低網絡攻擊的風險。

黑客使用網絡釣魚策略和誘餌文件

根據荷蘭網絡安全公司 EclecticIQ 最近的一份報告,2023 年 2 月發現了新一波攻擊,與之前的攻擊非常相似。但是,此活動有一個顯著差異 - 改進了惡意軟件的混淆程序,以更好地避免被反惡意軟件措施檢測到。

這些攻擊遵循社會工程策略,涉及向毫無戒心的目標發送包含 ISO 映像文件附件的電子郵件。 ISO 映像文件包含三個組件:可執行文件 (Winword.exe)、加載程序 (MSVCR100.dll) 和誘餌 Microsoft Word 文檔。 Word 文檔會分散注意力,而加載程序負責加載 KamiKakaBot 惡意軟件。

為了規避安全保護,加載程序使用 DLL 側加載方法將 KamiKakaBot 加載到 Winword.exe 二進製文件的內存中。此方法允許惡意軟件繞過會阻止其執行的安全措施。

KamiKakaBot 可以從被入侵的設備中竊取敏感信息

KamiKakaBot 是一種惡意軟件程序,旨在滲透網絡瀏覽器並竊取敏感數據。該惡意軟件還能夠使用命令提示符 (cmd.exe) 執行遠程代碼。為了逃避檢測,惡意軟件採用了複雜的技術來融入受害者的環境並避免檢測。

一旦主機受到威脅,惡意軟件就會通過濫用 Winlogon Helper 庫對 Windows 註冊表項進行惡意修改來建立持久性。這允許惡意軟件保持未被發現並繼續執行其惡意活動。然後將被盜數據作為 ZIP 存檔發送到 Telegram 機器人。

據網絡安全專家稱,使用合法的 Web 服務(例如 Telegram)作為命令和控制(C2,C&C)服務器是威脅參與者使用的一種常見策略。這種方法使得檢測和關閉惡意軟件變得更加困難,因為流量似乎是與 Web 服務的合法通信。這些策略不僅被常規的網絡犯罪分子使用,也被高級的持續威脅行為者使用。

鑑於這些攻擊越來越複雜,組織採取主動措施來防止網絡攻擊至關重要。這包括實施強大的安全措施來防範惡意軟件、保持軟件為最新版本,以及教育員工如何識別和避免網絡釣魚攻擊。

熱門

最受關注

加載中...