„KamiKakaBot“ taikosi į Azijos vyriausybės institucijas

2023 m. vasario mėn. EclecticIQ mokslininkai aptiko daugybę kenkėjiškų programų, žinomų kaip KamiKakaBot.

Nustatyta, kad šie kenkėjiškų programų atvejai buvo skirti ASEAN šalių vyriausybinėms institucijoms. Pastebėta, kad vasario mėnesį įvykusios atakos buvo panašios į tas, apie kurias pranešė Group-IB 2023 m. sausio mėn., kai grėsmės veikėjai naudojo ISO vaizdus, kad pristatytų KamiKakaBot naudojant DLL šoninio įkėlimo techniką. Tačiau vasario mėnesio kampanijoje užtemdymo rutina buvo patobulinta, kad būtų geriau išvengta apsaugos nuo kenkėjiškų programų priemonių. Nustačius kelis sutapimus, EclecticIQ analitikai galėjo priskirti atakas Dark Pink APT grupei, kuri veikia ASEAN regione.

Manoma, kad grupė „Dark Pink“ pradėjo veikti 2021 m. viduryje, o 2022 m. didina savo veiklą. Pagrindinė KamiKakaBot funkcija yra pavogti žiniatinklio naršyklėse saugomus duomenis, tokius kaip išsaugoti kredencialai, naršymo istorija ir slapukai. KamiKakaBot kūrėjai naudoja įvairius metodus, kad liktų nepastebėti vykdydami kenkėjiškus veiksmus užkrėstuose įrenginiuose, pvz., „Living-off-the-Land“ dvejetainius failus (LOLBIN), pvz., MsBuild.exe.

KamiKaka platinimo metodai ir veikimo būdas

Sukčiavimo el. laiškai naudojami platinti „KamiKakaBot“, kuris pateikiamas kaip kenkėjiškas ISO failo priedas. Šiame faile yra teisėtas Microsoft pasirašytas WinWord.exe failas, kuris naudojamas DLL šoninio įkėlimo technikai. Kai vartotojas spusteli WinWord.exe, KamiKakaBot įkroviklis (MSVCR100.dll), esantis tame pačiame aplanke kaip ir WinWord, automatiškai įkeliamas į atmintį ir vykdomas.

Kenkėjiškame ISO faile taip pat yra apgaulės „Word“ dokumentas su užšifruota sekcija, užkoduota XOR. KamiKakaBot įkroviklis naudoja šią sekciją, kad iššifruotų XOR koduotą turinį iš apgaulės failo, tada įrašo iššifruotą KamiKakaBot XML naudingąjį apkrovą į diską (C:\Windows\temp) ir vykdo jį per dvejetainį failą, MsBuild.exe.

„KamiKakaBot“ gali išgauti slaptą informaciją iš „Chrome“, „MS Edge“ ir „Firefox“ žiniatinklio naršyklių, o pavogti duomenys suglaudinami į ZIP formatą ir siunčiami į užpuolikų „Telegram“ robotų kanalą. Po pradinio užkrėtimo užpuolikas gali atnaujinti kenkėjišką programą arba vykdyti nuotolinį kodą tiksliniame įrenginyje, kad būtų galima atlikti tolesnę veiklą po išnaudojimo. Visas ryšys tarp kenkėjiškos programos ir komandų ir valdymo centro vykdomas per „Telegram“ robotą, kurį valdo grėsmės veikėjas.