KamiKakaBot retter sig mod asiatiske regeringsorganer

I løbet af februar 2023 blev en række malwares kendt som KamiKakaBot opdaget af forskere ved EclecticIQ.

Disse malware-forekomster viste sig at være rettet mod statslige institutioner i ASEAN-lande. Det blev observeret, at angrebene, der fandt sted i februar, lignede dem, der blev rapporteret af Group-IB i januar 2023, hvor trusselsaktørerne brugte ISO-billeder til at levere KamiKakaBot gennem DLL-sideindlæsningsteknik. I februar-kampagnen blev sløringsrutinen dog forbedret for bedre at undgå anti-malware-foranstaltninger. Ved at identificere flere overlapninger var EclecticIQ-analytikere i stand til at tilskrive angrebene Dark Pink APT-gruppen, som er aktiv i ASEAN-regionen.

The Dark Pink-gruppen menes at have startet sin virksomhed i midten af 2021 og har øget sin aktivitet i 2022. KamiKakaBots primære funktion er at stjæle data gemt i webbrowsere, såsom gemte legitimationsoplysninger, browserhistorik og cookies. Udviklerne af KamiKakaBot bruger forskellige teknikker til at forblive uopdaget, mens de udfører ondsindede handlinger på inficerede enheder, såsom Living-off-the-Land binære filer (LOLBINs) som MsBuild.exe.

Distributionsmetoder for KamiKaka og funktionsmåde

Phishing-e-mails bruges til at distribuere KamiKakaBot, som kommer i form af en ondsindet ISO-fil vedhæftet fil. Denne fil indeholder en legitim Microsoft-signeret WinWord.exe, som udnyttes til DLL-sideindlæsningsteknik. Når brugeren klikker på WinWord.exe, indlæses KamiKakaBot-indlæseren (MSVCR100.dll) i samme mappe som WinWord automatisk i hukommelsen og udføres.

Den ondsindede ISO-fil indeholder også et lokkemiddel Word-dokument med en krypteret sektion, der er XOR-kodet. KamiKakaBot-indlæseren bruger denne sektion til at dekryptere det XOR-kodede indhold fra lokkefilen og skriver derefter den dekrypterede XML-nyttelast af KamiKakaBot til disken (C:\Windows\temp) og udfører den via en live-off-the-land binær, MsBuild.exe.

KamiKakaBot er i stand til at udtrække følsomme oplysninger fra Chrome, MS Edge og Firefox webbrowsere, og de stjålne data komprimeres til et ZIP-format og sendes til angriberens Telegram-botkanal. Efter den første infektion kan angriberen opgradere malwaren eller udføre fjernkode på den målrettede enhed, hvilket giver mulighed for yderligere aktiviteter efter udnyttelse. Al kommunikation mellem malwaren og kommando- og kontrolcenteret udføres via en Telegram-bot, der styres af trusselsaktøren.

I Zaib
March 16, 2023
Malware
Dansk
March 16, 2023
Malware

Populære opslag

'123456' og 'adgangskode' er stadig de værste adgangskoder, du...

5 years siden

Cyberkriminelle Brug Coronavirus-tema-spam til at sprede malware

3 years siden

Cybercrooks drager fordel af den globale pandemi til at tjene...

3 years siden

Sådan undgår du Turaddoptle.com-annoncer

23 days siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Gyldige

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Cyclonis Limited's Discount Terms Cyclonis Limited's Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2023 Cyclonis Ltd. CYCLONIS er et varemærke tilhørende Cyclonis Ltd. Alle rettigheder forbeholdes.

Registreret kontor: 3 Castle Street, Penthouse, Dublin D02KF25, Irland.
Cyclonis Limited, Privat selskab Begrænset af aktier, Virksomhedsregistreringsnummer 574974.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.