KamiKakaBot retter sig mod asiatiske regeringsorganer

I løbet af februar 2023 blev en række malwares kendt som KamiKakaBot opdaget af forskere ved EclecticIQ.

Disse malware-forekomster viste sig at være rettet mod statslige institutioner i ASEAN-lande. Det blev observeret, at angrebene, der fandt sted i februar, lignede dem, der blev rapporteret af Group-IB i januar 2023, hvor trusselsaktørerne brugte ISO-billeder til at levere KamiKakaBot gennem DLL-sideindlæsningsteknik. I februar-kampagnen blev sløringsrutinen dog forbedret for bedre at undgå anti-malware-foranstaltninger. Ved at identificere flere overlapninger var EclecticIQ-analytikere i stand til at tilskrive angrebene Dark Pink APT-gruppen, som er aktiv i ASEAN-regionen.

The Dark Pink-gruppen menes at have startet sin virksomhed i midten af 2021 og har øget sin aktivitet i 2022. KamiKakaBots primære funktion er at stjæle data gemt i webbrowsere, såsom gemte legitimationsoplysninger, browserhistorik og cookies. Udviklerne af KamiKakaBot bruger forskellige teknikker til at forblive uopdaget, mens de udfører ondsindede handlinger på inficerede enheder, såsom Living-off-the-Land binære filer (LOLBINs) som MsBuild.exe.

Distributionsmetoder for KamiKaka og funktionsmåde

Phishing-e-mails bruges til at distribuere KamiKakaBot, som kommer i form af en ondsindet ISO-fil vedhæftet fil. Denne fil indeholder en legitim Microsoft-signeret WinWord.exe, som udnyttes til DLL-sideindlæsningsteknik. Når brugeren klikker på WinWord.exe, indlæses KamiKakaBot-indlæseren (MSVCR100.dll) i samme mappe som WinWord automatisk i hukommelsen og udføres.

Den ondsindede ISO-fil indeholder også et lokkemiddel Word-dokument med en krypteret sektion, der er XOR-kodet. KamiKakaBot-indlæseren bruger denne sektion til at dekryptere det XOR-kodede indhold fra lokkefilen og skriver derefter den dekrypterede XML-nyttelast af KamiKakaBot til disken (C:\Windows\temp) og udfører den via en live-off-the-land binær, MsBuild.exe.

KamiKakaBot er i stand til at udtrække følsomme oplysninger fra Chrome, MS Edge og Firefox webbrowsere, og de stjålne data komprimeres til et ZIP-format og sendes til angriberens Telegram-botkanal. Efter den første infektion kan angriberen opgradere malwaren eller udføre fjernkode på den målrettede enhed, hvilket giver mulighed for yderligere aktiviteter efter udnyttelse. Al kommunikation mellem malwaren og kommando- og kontrolcenteret udføres via en Telegram-bot, der styres af trusselsaktøren.

I Zaib
March 16, 2023
Malware
Dansk
March 16, 2023
Malware

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

5 days siden

Trojan Al11 Malware Detektion

11 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.