A KamiKakaBot az ázsiai kormányzati szerveket célozza meg

2023 februárjában az EclecticIQ kutatói a KamiKakaBot néven ismert rosszindulatú programok sorozatát fedezték fel.

Megállapították, hogy ezek a rosszindulatú programok az ASEAN-országok kormányzati intézményeit célozták meg. Megfigyelték, hogy a februári támadások hasonlóak voltak a Group-IB által 2023 januárjában jelentett támadásokhoz, ahol a fenyegetés szereplői ISO-képeket használtak a KamiKakaBot DLL oldalbetöltési technikával történő eljuttatására. A februári kampányban azonban továbbfejlesztették az elhomályosítási rutint, hogy jobban elkerüljék a rosszindulatú programok elleni intézkedéseket. Több átfedés azonosításával az EclecticIQ elemzői a támadásokat a Dark Pink APT csoportnak tulajdonították, amely az ASEAN régióban aktív.

A Dark Pink csoport vélhetően 2021 közepén kezdte meg működését, és 2022-ben növelte tevékenységét. A KamiKakaBot elsődleges funkciója a webböngészőkben tárolt adatok, például a mentett hitelesítő adatok, böngészési előzmények és cookie-k ellopása. A KamiKakaBot fejlesztői különféle technikákat alkalmaznak, hogy észrevétlenül maradjanak, miközben rosszindulatú műveleteket hajtanak végre a fertőzött eszközökön, például a Living-off-the-Land binárisokat (LOLBIN), például az MsBuild.exe-t.

A KamiKaka elosztási módszerei és működési módja

Az adathalász e-maileket a KamiKakaBot terjesztésére használják, amely rosszindulatú ISO-fájlmelléklet formájában érkezik. Ez a fájl egy legitim, Microsoft által aláírt WinWord.exe fájlt tartalmaz, amelyet DLL oldalsó betöltési technikára használnak ki. Amikor a felhasználó a WinWord.exe fájlra kattint, a WinWorddal azonos mappában található KamiKakaBot betöltő (MSVCR100.dll) automatikusan betöltődik a memóriába és lefut.

A rosszindulatú ISO-fájl egy csali Word-dokumentumot is tartalmaz, amelynek titkosított része XOR-kódolású. A KamiKakaBot betöltő ezt a szakaszt használja az XOR-kódolt tartalom visszafejtésére a csalifájlból, majd a KamiKakaBot dekódolt XML-adattartalmát lemezre írja (C:\Windows\temp), és végrehajtja egy élő off-the-land binárison keresztül, MsBuild.exe.

A KamiKakaBot képes érzékeny információkat kinyerni a Chrome, MS Edge és Firefox webböngészőkből, az ellopott adatokat pedig ZIP formátumba tömörítik, és elküldik a támadók Telegram bot csatornájára. A kezdeti fertőzés után a támadó frissítheti a kártevőt, vagy távoli kódot futtathat a megcélzott eszközön, lehetővé téve a további kizsákmányolást követő tevékenységeket. A rosszindulatú program és a parancs- és vezérlőközpont közötti minden kommunikáció egy Telegram-boton keresztül történik, amelyet a fenyegető szereplő irányít.