KamiKakaBot prende di mira gli enti governativi asiatici
Nel febbraio 2023, i ricercatori di EclecticIQ hanno scoperto una serie di malware noti come KamiKakaBot.
È stato scoperto che queste istanze di malware avevano preso di mira istituzioni governative nei paesi dell'ASEAN. È stato osservato che gli attacchi avvenuti a febbraio erano simili a quelli segnalati da Group-IB nel gennaio 2023, in cui gli attori delle minacce hanno utilizzato immagini ISO per consegnare KamiKakaBot tramite la tecnica di caricamento laterale DLL. Tuttavia, nella campagna di febbraio, la routine di offuscamento è stata migliorata per eludere meglio le misure anti-malware. Identificando molteplici sovrapposizioni, gli analisti di EclecticIQ sono stati in grado di attribuire gli attacchi al gruppo Dark Pink APT, attivo nella regione ASEAN.
Si ritiene che il gruppo Dark Pink abbia avviato le operazioni a metà del 2021 e abbia aumentato la sua attività nel 2022. La funzione principale di KamiKakaBot è rubare i dati memorizzati nei browser Web, come credenziali salvate, cronologia di navigazione e cookie. Gli sviluppatori di KamiKakaBot utilizzano varie tecniche per non essere rilevati durante l'esecuzione di azioni dannose su dispositivi infetti, come i binari Living-off-the-Land (LOLBIN) come MsBuild.exe.
Metodi di distribuzione per KamiKaka e modalità di funzionamento
Le e-mail di phishing vengono utilizzate per distribuire KamiKakaBot, che si presenta sotto forma di un file ISO dannoso allegato. Questo file contiene un WinWord.exe firmato Microsoft legittimo, che viene sfruttato per la tecnica di caricamento laterale DLL. Quando l'utente fa clic su WinWord.exe, il caricatore KamiKakaBot (MSVCR100.dll) situato nella stessa cartella di WinWord viene automaticamente caricato in memoria ed eseguito.
Il file ISO dannoso contiene anche un documento Word esca con una sezione crittografata con codifica XOR. Il caricatore KamiKakaBot utilizza questa sezione per decrittografare il contenuto con codifica XOR dal file esca e quindi scrive il payload XML decrittografato di KamiKakaBot su disco (C:\Windows\temp) e lo esegue tramite un binario vivente, MSBuild.exe.
KamiKakaBot è in grado di estrarre informazioni sensibili dai browser Web Chrome, MS Edge e Firefox e i dati rubati vengono compressi in un formato ZIP e inviati al canale bot Telegram degli aggressori. Dopo l'infezione iniziale, l'aggressore può aggiornare il malware o eseguire codice remoto sul dispositivo preso di mira, consentendo ulteriori attività post-sfruttamento. Tutte le comunicazioni tra il malware e il centro di comando e controllo vengono effettuate tramite un bot di Telegram controllato dall'autore della minaccia.
