KamiKakaBot 瞄準亞洲政府機構

2023 年 2 月，EclecticIQ 的研究人員發現了一系列名為 KamiKakaBot 的惡意軟件。

這些惡意軟件實例被發現以東盟國家的政府機構為目標。據觀察，2 月份發生的攻擊與 Group-IB 在 2023 年 1 月報告的攻擊類似，威脅行為者使用 ISO 映像通過 DLL 側載技術交付 KamiKakaBot。然而，在 2 月的活動中，混淆程序得到改進，以更好地規避反惡意軟件措施。通過識別多個重疊，EclecticIQ 分析師能夠將攻擊歸因於活躍於東盟地區的 Dark Pink APT 組織。

據信，Dark Pink 組織已於 2021 年年中開始運營，並在 2022 年一直在增加活動。KamiKakaBot 的主要功能是竊取存儲在網絡瀏覽器中的數據，例如保存的憑據、瀏覽歷史記錄和 cookie。 KamiKakaBot 的開發人員使用各種技術在受感染設備上執行惡意操作時保持不被發現，例如像 MsBuild.exe 這樣的 Living-off-the-Land 二進製文件 (LOLBIN)。

KamiKaka 的分銷方式和運營模式

網絡釣魚電子郵件用於分發 KamiKakaBot，它以惡意 ISO 文件附件的形式出現。此文件包含合法的 Microsoft 簽名的 WinWord.exe，可用於 DLL 側加載技術。當用戶點擊 WinWord.exe 時，與 WinWord 位於同一文件夾中的 KamiKakaBot 加載程序 (MSVCR100.dll) 會自動加載到內存中並執行。

惡意 ISO 文件還包含一個誘餌 Word 文檔，其中的加密部分是異或編碼的。 KamiKakaBot 加載程序利用此部分從誘餌文件中解密 XOR 編碼的內容，然後將解密後的 KamiKakaBot XML 有效負載寫入磁盤 (C:\Windows\temp) 並通過 living-off-the-land 二進製文件執行它， MsBuild.exe。

KamiKakaBot 能夠從 Chrome、MS Edge 和 Firefox 網絡瀏覽器中提取敏感信息，並將竊取的數據壓縮成 ZIP 格式並發送到攻擊者的 Telegram 機器人頻道。初次感染後，攻擊者可以升級惡意軟件或在目標設備上執行遠程代碼，從而允許進一步的後期開發活動。惡意軟件與指揮控制中心之間的所有通信都是通過由威脅行為者控制的 Telegram 機器人進行的。