KamiKakaBot 瞄准亚洲政府机构

2023 年 2 月，EclecticIQ 的研究人员发现了一系列名为 KamiKakaBot 的恶意软件。

这些恶意软件实例被发现以东盟国家的政府机构为目标。据观察，2 月份发生的攻击与 Group-IB 在 2023 年 1 月报告的攻击类似，威胁行为者使用 ISO 映像通过 DLL 侧载技术交付 KamiKakaBot。然而，在 2 月的活动中，混淆程序得到改进，以更好地规避反恶意软件措施。通过识别多个重叠，EclecticIQ 分析师能够将攻击归因于活跃于东盟地区的 Dark Pink APT 组织。

据信，Dark Pink 组织已于 2021 年年中开始运营，并在 2022 年一直在增加活动。KamiKakaBot 的主要功能是窃取存储在网络浏览器中的数据，例如保存的凭据、浏览历史记录和 cookie。 KamiKakaBot 的开发人员使用各种技术在受感染设备上执行恶意操作时保持不被发现，例如像 MsBuild.exe 这样的 Living-off-the-Land 二进制文件 (LOLBIN)。

KamiKaka 的分销方式和运营模式

网络钓鱼电子邮件用于分发 KamiKakaBot，它以恶意 ISO 文件附件的形式出现。此文件包含合法的 Microsoft 签名的 WinWord.exe，可用于 DLL 侧加载技术。当用户点击 WinWord.exe 时，与 WinWord 位于同一文件夹中的 KamiKakaBot 加载程序 (MSVCR100.dll) 会自动加载到内存中并执行。

恶意 ISO 文件还包含一个诱饵 Word 文档，其中的加密部分是异或编码的。 KamiKakaBot 加载程序利用此部分从诱饵文件中解密 XOR 编码的内容，然后将解密后的 KamiKakaBot XML 有效负载写入磁盘 (C:\Windows\temp) 并通过 living-off-the-land 二进制文件执行它， MsBuild.exe。

KamiKakaBot 能够从 Chrome、MS Edge 和 Firefox 网络浏览器中提取敏感信息，并将窃取的数据压缩成 ZIP 格式并发送到攻击者的 Telegram 机器人频道。初次感染后，攻击者可以升级恶意软件或在目标设备上执行远程代码，从而允许进一步的后期开发活动。恶意软件与指挥控制中心之间的所有通信都是通过由威胁行为者控制的 Telegram 机器人进行的。