カミカカボット、アジアの政府機関を標的に

2023 年 2 月、KamiKakaBot として知られる一連のマルウェアが EclecticIQ の研究者によって発見されました。

これらのマルウェア インスタンスは、ASEAN 諸国の政府機関を標的にしていることが判明しました。 2 月に発生した攻撃は、Group-IB が 2023 年 1 月に報告したものと同様であることが観察されました。この攻撃では、脅威アクターが ISO イメージを使用して、DLL サイドローディング手法を介して KamiKakaBot を配布していました。ただし、2 月のキャンペーンでは、難読化ルーチンが改善され、マルウェア対策を回避しやすくなりました。複数の重複を特定することで、EclecticIQ のアナリストは、攻撃が ASEAN 地域で活動している Dark Pink APT グループによるものであると特定することができました。

Dark Pink グループは 2021 年半ばに活動を開始したと考えられており、2022 年にその活動を強化しています。 KamiKakaBot の開発者は、MsBuild.exe などの Living-off-the-Land バイナリ (LOLBIN) など、感染したデバイスで悪意のあるアクションを実行している間、さまざまな手法を使用して検出されないようにしています。

カミカカの配布方法と運用形態

フィッシング メールは、悪意のある ISO ファイルの添付ファイルの形で配布される KamiKakaBot を配布するために使用されます。このファイルには、Microsoft が署名した正当な WinWord.exe が含まれており、DLL のサイドローディング手法に悪用されます。ユーザーが WinWord.exe をクリックすると、WinWord と同じフォルダーにある KamiKakaBot ローダー (MSVCR100.dll) が自動的にメモリに読み込まれ、実行されます。

悪意のある ISO ファイルには、XOR エンコードされた暗号化されたセクションを含むおとりの Word ドキュメントも含まれています。 KamiKakaBot ローダーは、このセクションを利用して、おとりファイルから XOR エンコードされたコンテンツを復号化し、復号化された KamiKakaBot の XML ペイロードをディスク (C:\Windows\temp) に書き込み、生活オフ ザ ランド バイナリを介して実行します。 MsBuild.exe.

KamiKakaBot は、Chrome、MS Edge、および Firefox Web ブラウザーから機密情報を抽出することができ、盗まれたデータは ZIP 形式に圧縮され、攻撃者の Telegram ボット チャネルに送信されます。最初の感染後、攻撃者は標的のデバイスでマルウェアをアップグレードしたり、リモート コードを実行したりして、悪用後のさらなる活動を可能にします。マルウェアとコマンド アンド コントロール センター間のすべての通信は、攻撃者によって制御される Telegram ボットを介して実行されます。