KamiKakaBot нацелен на правительственные органы Азии

В феврале 2023 года исследователи EclecticIQ обнаружили серию вредоносных программ, известных как KamiKakaBot.
Было обнаружено, что эти экземпляры вредоносного ПО были нацелены на правительственные учреждения в странах АСЕАН. Было замечено, что атаки, имевшие место в феврале, были аналогичны атакам, о которых сообщила Group-IB в январе 2023 года, когда злоумышленники использовали образы ISO для доставки KamiKakaBot с помощью метода боковой загрузки DLL. Однако в февральской кампании процедура запутывания была улучшена, чтобы лучше обходить меры защиты от вредоносных программ. Выявив несколько совпадений, аналитики EclecticIQ смогли приписать атаки группировке Dark Pink APT, которая активна в регионе АСЕАН.
Считается, что группа Dark Pink начала свою деятельность в середине 2021 года и наращивала свою активность в 2022 году. Основная функция KamiKakaBot — кража данных, хранящихся в веб-браузерах, таких как сохраненные учетные данные, история просмотров и файлы cookie. Разработчики KamiKakaBot используют различные методы, чтобы оставаться незамеченными при выполнении вредоносных действий на зараженных устройствах, таких как двоичные файлы Living-off-the-Land (LOLBIN), такие как MsBuild.exe.
Способы распространения KamiKaka и режим работы
Фишинговые электронные письма используются для распространения KamiKakaBot, который поставляется в виде вредоносного вложения в виде ISO-файла. Этот файл содержит законный файл WinWord.exe, подписанный Microsoft, который используется для технологии боковой загрузки DLL. Когда пользователь щелкает WinWord.exe, загрузчик KamiKakaBot (MSVCR100.dll), расположенный в той же папке, что и WinWord, автоматически загружается в память и запускается.
Вредоносный ISO-файл также содержит фиктивный документ Word с зашифрованным разделом, закодированным методом XOR. Загрузчик KamiKakaBot использует этот раздел для расшифровки XOR-кодированного содержимого из файла-приманки, а затем записывает расшифрованную полезную нагрузку XML KamiKakaBot на диск (C:\Windows\temp) и выполняет ее с помощью живого бинарного файла, MsBuild.exe.
KamiKakaBot способен извлекать конфиденциальную информацию из веб-браузеров Chrome, MS Edge и Firefox, а украденные данные сжимаются в формат ZIP и отправляются на канал бота злоумышленников в Telegram. После первоначального заражения злоумышленник может обновить вредоносное ПО или выполнить удаленный код на целевом устройстве, что позволяет выполнять дальнейшие действия после эксплуатации. Вся связь между вредоносным ПО и центром управления осуществляется через Telegram-бота, который контролируется злоумышленником.