KamiKakaBot bierze na cel azjatyckie organy rządowe

W lutym 2023 r. naukowcy z EclecticIQ odkryli serię złośliwych programów znanych jako KamiKakaBot.

Stwierdzono, że te instancje złośliwego oprogramowania atakowały instytucje rządowe w krajach ASEAN. Zaobserwowano, że ataki, które miały miejsce w lutym, były podobne do tych zgłoszonych przez Group-IB w styczniu 2023 r., kiedy cyberprzestępcy wykorzystywali obrazy ISO do dostarczania KamiKakaBota za pomocą techniki ładowania bocznego bibliotek DLL. Jednak w kampanii lutowej udoskonalono procedurę zaciemniania, aby lepiej omijać środki chroniące przed szkodliwym oprogramowaniem. Identyfikując wiele nakładających się działań, analitycy EclecticIQ byli w stanie przypisać ataki grupie Dark Pink APT, która jest aktywna w regionie ASEAN.

Uważa się, że grupa Dark Pink rozpoczęła działalność w połowie 2021 roku i zwiększa swoją aktywność w 2022 roku. Podstawową funkcją KamiKakaBot jest kradzież danych przechowywanych w przeglądarkach internetowych, takich jak zapisane dane uwierzytelniające, historia przeglądania i pliki cookie. Twórcy KamiKakaBot używają różnych technik, aby pozostać niewykrytym podczas wykonywania złośliwych działań na zainfekowanych urządzeniach, takich jak pliki binarne Living-off-the-Land (LOLBIN), takie jak MsBuild.exe.

Metody dystrybucji dla KamiKaka i tryb działania

E-maile phishingowe służą do dystrybucji KamiKakaBot, który ma postać złośliwego załącznika w postaci pliku ISO. Ten plik zawiera legalny plik WinWord.exe podpisany przez firmę Microsoft, który jest wykorzystywany do techniki ładowania bocznego bibliotek DLL. Gdy użytkownik kliknie plik WinWord.exe, moduł ładujący KamiKakaBot (MSVCR100.dll) znajdujący się w tym samym folderze co WinWord jest automatycznie ładowany do pamięci i uruchamiany.

Złośliwy plik ISO zawiera również zwodniczy dokument Word z zaszyfrowaną sekcją zakodowaną w formacie XOR. Moduł ładujący KamiKakaBot wykorzystuje tę sekcję do odszyfrowania zawartości zakodowanej XOR z pliku wabika, a następnie zapisuje odszyfrowany ładunek XML KamiKakaBot na dysku (C:\Windows\temp) i wykonuje go za pomocą pliku binarnego „żyjący poza ziemią”, MsBuild.exe.

KamiKakaBot jest w stanie wyodrębnić poufne informacje z przeglądarek internetowych Chrome, MS Edge i Firefox, a skradzione dane są kompresowane do formatu ZIP i wysyłane do kanału bota Telegram atakujących. Po początkowej infekcji atakujący może zaktualizować złośliwe oprogramowanie lub wykonać zdalny kod na zaatakowanym urządzeniu, co pozwala na dalsze działania poeksploatacyjne. Wszelka komunikacja między złośliwym oprogramowaniem a centrum dowodzenia i kontroli odbywa się za pośrednictwem bota Telegram, który jest kontrolowany przez cyberprzestępcę.