KamiKakaBot retter sig mod asiatiske regeringsorganer

I løbet af februar 2023 blev en række malwares kendt som KamiKakaBot opdaget af forskere ved EclecticIQ.

Disse malware-forekomster viste sig at være rettet mod statslige institutioner i ASEAN-lande. Det blev observeret, at angrebene, der fandt sted i februar, lignede dem, der blev rapporteret af Group-IB i januar 2023, hvor trusselsaktørerne brugte ISO-billeder til at levere KamiKakaBot gennem DLL-sideindlæsningsteknik. I februar-kampagnen blev sløringsrutinen dog forbedret for bedre at undgå anti-malware-foranstaltninger. Ved at identificere flere overlapninger var EclecticIQ-analytikere i stand til at tilskrive angrebene Dark Pink APT-gruppen, som er aktiv i ASEAN-regionen.

The Dark Pink-gruppen menes at have startet sin virksomhed i midten af 2021 og har øget sin aktivitet i 2022. KamiKakaBots primære funktion er at stjæle data gemt i webbrowsere, såsom gemte legitimationsoplysninger, browserhistorik og cookies. Udviklerne af KamiKakaBot bruger forskellige teknikker til at forblive uopdaget, mens de udfører ondsindede handlinger på inficerede enheder, såsom Living-off-the-Land binære filer (LOLBINs) som MsBuild.exe.

Distributionsmetoder for KamiKaka og funktionsmåde

Phishing-e-mails bruges til at distribuere KamiKakaBot, som kommer i form af en ondsindet ISO-fil vedhæftet fil. Denne fil indeholder en legitim Microsoft-signeret WinWord.exe, som udnyttes til DLL-sideindlæsningsteknik. Når brugeren klikker på WinWord.exe, indlæses KamiKakaBot-indlæseren (MSVCR100.dll) i samme mappe som WinWord automatisk i hukommelsen og udføres.

Den ondsindede ISO-fil indeholder også et lokkemiddel Word-dokument med en krypteret sektion, der er XOR-kodet. KamiKakaBot-indlæseren bruger denne sektion til at dekryptere det XOR-kodede indhold fra lokkefilen og skriver derefter den dekrypterede XML-nyttelast af KamiKakaBot til disken (C:\Windows\temp) og udfører den via en live-off-the-land binær, MsBuild.exe.

KamiKakaBot er i stand til at udtrække følsomme oplysninger fra Chrome, MS Edge og Firefox webbrowsere, og de stjålne data komprimeres til et ZIP-format og sendes til angriberens Telegram-botkanal. Efter den første infektion kan angriberen opgradere malwaren eller udføre fjernkode på den målrettede enhed, hvilket giver mulighed for yderligere aktiviteter efter udnyttelse. Al kommunikation mellem malwaren og kommando- og kontrolcenteret udføres via en Telegram-bot, der styres af trusselsaktøren.