Το KamiKakaBot στοχεύει σε ασιατικούς κυβερνητικούς φορείς
Τον Φεβρουάριο του 2023, μια σειρά από κακόβουλα προγράμματα γνωστά ως KamiKakaBot ανακαλύφθηκαν από ερευνητές στο EclecticIQ.
Αυτές οι περιπτώσεις κακόβουλου λογισμικού διαπιστώθηκε ότι στόχευαν κυβερνητικά ιδρύματα στις χώρες του ASEAN. Παρατηρήθηκε ότι οι επιθέσεις που έλαβαν χώρα τον Φεβρουάριο ήταν παρόμοιες με αυτές που αναφέρθηκαν από το Group-IB τον Ιανουάριο του 2023, όπου οι παράγοντες απειλών χρησιμοποίησαν εικόνες ISO για να παραδώσουν το KamiKakaBot μέσω της τεχνικής πλευρικής φόρτωσης DLL. Ωστόσο, στην εκστρατεία του Φεβρουαρίου, η ρουτίνα συσκότισης βελτιώθηκε για να αποφευχθούν καλύτερα τα μέτρα κατά του κακόβουλου λογισμικού. Εντοπίζοντας πολλαπλές επικαλύψεις, οι αναλυτές του EclecticIQ μπόρεσαν να αποδώσουν τις επιθέσεις στην ομάδα Dark Pink APT, η οποία δραστηριοποιείται στην περιοχή ASEAN.
Η ομάδα Dark Pink πιστεύεται ότι ξεκίνησε τη λειτουργία της στα μέσα του 2021 και έχει αυξήσει τη δραστηριότητά της το 2022. Η κύρια λειτουργία του KamiKakaBot είναι να κλέβει δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού, όπως αποθηκευμένα διαπιστευτήρια, ιστορικό περιήγησης και cookies. Οι προγραμματιστές του KamiKakaBot χρησιμοποιούν διάφορες τεχνικές για να παραμείνουν απαρατήρητοι κατά την εκτέλεση κακόβουλων ενεργειών σε μολυσμένες συσκευές, όπως τα δυαδικά αρχεία Living-off-the-Land (LOLBIN) όπως το MsBuild.exe.
Μέθοδοι Διανομής για KamiKaka και Τρόπος Λειτουργίας
Τα μηνύματα ηλεκτρονικού ψαρέματος χρησιμοποιούνται για τη διανομή KamiKakaBot, το οποίο έρχεται με τη μορφή κακόβουλου συνημμένου αρχείου ISO. Αυτό το αρχείο περιέχει ένα νόμιμο WinWord.exe υπογεγραμμένο από τη Microsoft, το οποίο χρησιμοποιείται για την τεχνική πλευρικής φόρτωσης DLL. Όταν ο χρήστης κάνει κλικ στο WinWord.exe, ο φορτωτής KamiKakaBot (MSVCR100.dll) που βρίσκεται στον ίδιο φάκελο με το WinWord φορτώνεται αυτόματα στη μνήμη και εκτελείται.
Το κακόβουλο αρχείο ISO περιέχει επίσης ένα έγγραφο δόλωμα του Word με μια κρυπτογραφημένη ενότητα που είναι κωδικοποιημένη με XOR. Ο φορτωτής KamiKakaBot χρησιμοποιεί αυτήν την ενότητα για να αποκρυπτογραφήσει το περιεχόμενο με κωδικοποίηση XOR από το αρχείο δόλωμα και στη συνέχεια εγγράφει το αποκρυπτογραφημένο ωφέλιμο φορτίο XML του KamiKakaBot στο δίσκο (C:\Windows\temp) και το εκτελεί μέσω ενός ζωντανού δυαδικού αρχείου, MsBuild.exe.
Το KamiKakaBot είναι σε θέση να εξάγει ευαίσθητες πληροφορίες από προγράμματα περιήγησης ιστού Chrome, MS Edge και Firefox και τα κλεμμένα δεδομένα συμπιέζονται σε μορφή ZIP και αποστέλλονται στο κανάλι ρομπότ Telegram των εισβολέων. Μετά την αρχική μόλυνση, ο εισβολέας μπορεί να αναβαθμίσει το κακόβουλο λογισμικό ή να εκτελέσει απομακρυσμένο κώδικα στη στοχευμένη συσκευή, επιτρέποντας περαιτέρω δραστηριότητες μετά την εκμετάλλευση. Όλη η επικοινωνία μεταξύ του κακόβουλου λογισμικού και του κέντρου εντολών και ελέγχου πραγματοποιείται μέσω ενός ρομπότ Telegram που ελέγχεται από τον παράγοντα απειλής.
