KamiKakaBot retter seg mot asiatiske myndigheter
I løpet av februar 2023 ble en serie skadelig programvare kjent som KamiKakaBot oppdaget av forskere ved EclecticIQ.
Disse skadevaretilfellene ble funnet å ha rettet mot offentlige institusjoner i ASEAN-land. Det ble observert at angrepene som fant sted i februar liknet de som ble rapportert av Group-IB i januar 2023, der trusselaktørene brukte ISO-bilder for å levere KamiKakaBot gjennom DLL-sidelastingsteknikk. I februarkampanjen ble imidlertid tilsløringsrutinen forbedret for å bedre unngå tiltak mot skadelig programvare. Ved å identifisere flere overlappinger, var EclecticIQ-analytikere i stand til å tilskrive angrepene til Dark Pink APT-gruppen, som er aktiv i ASEAN-regionen.
Dark Pink-gruppen antas å ha startet sin virksomhet i midten av 2021 og har økt sin aktivitet i 2022. Den primære funksjonen til KamiKakaBot er å stjele data lagret i nettlesere, for eksempel lagret legitimasjon, nettleserhistorikk og informasjonskapsler. Utviklerne av KamiKakaBot bruker forskjellige teknikker for å forbli uoppdaget mens de utfører ondsinnede handlinger på infiserte enheter, for eksempel Living-off-the-Land-binærfiler (LOLBINs) som MsBuild.exe.
Distribusjonsmetoder for KamiKaka og driftsmåte
Phishing-e-poster brukes til å distribuere KamiKakaBot, som kommer i form av et ondsinnet ISO-filvedlegg. Denne filen inneholder en legitim Microsoft-signert WinWord.exe, som utnyttes for DLL-sidelastingsteknikk. Når brukeren klikker på WinWord.exe, lastes KamiKakaBot-lasteren (MSVCR100.dll) i samme mappe som WinWord automatisk inn i minnet og kjøres.
Den ondsinnede ISO-filen inneholder også et lokkeduere Word-dokument med en kryptert del som er XOR-kodet. KamiKakaBot-lasteren bruker denne seksjonen til å dekryptere det XOR-kodede innholdet fra lokkefilen og skriver deretter den dekrypterte XML-nyttelasten til KamiKakaBot til disken (C:\Windows\temp) og kjører den via en live-off-the-land-binærfil, MsBuild.exe.
KamiKakaBot er i stand til å trekke ut sensitiv informasjon fra nettlesere Chrome, MS Edge og Firefox, og de stjålne dataene komprimeres til et ZIP-format og sendes til angripernes Telegram-botkanal. Etter den første infeksjonen kan angriperen oppgradere skadelig programvare eller kjøre ekstern kode på den målrettede enheten, noe som gir mulighet for ytterligere aktiviteter etter utnyttelse. All kommunikasjon mellom skadevaren og kommando- og kontrollsenteret utføres via en Telegram-bot som kontrolleres av trusselaktøren.
