An toàn thông tin

Phần mềm độc hại KamiKakaBot nhắm vào các mục tiêu Đông Nam Á

Hạnh Tâm 20:25 13/03/2023

Tác nhân tấn công APT là Dark Pink đã được cho là có liên quan tới một loạt các cuộc tấn công mới nhắm vào các tổ chức chính phủ và quân đội ở các quốc gia Đông Nam Á bằng phần mềm độc hại có tên KamiKakaBot.

Dark Pink, còn được gọi là Saaiwc, được Group-IB phát hiện hồi đầu năm nay. Nó sử dụng các công cụ tùy chỉnh như TelePowerBot và KamiKakaBot để chạy các lệnh tùy ý và lọc thông tin nhạy cảm. Tác nhân đe dọa bị nghi ngờ có nguồn gốc từ Châu Á - Thái Bình Dương, đã hoạt động ít nhất là từ giữa năm 2021 và gia tăng các hoạt động vào năm 2022.

Công ty an ninh mạng Hà Lan EclecticIQ cho biết: “Các cuộc tấn công mới nhất, diễn ra vào tháng 2/2023, gần giống với các cuộc tấn công trước đó”. "Sự khác biệt chính trong chiến dịch tháng 2/2023 là hoạt động của phần mềm độc hại đã được cải thiện tốt hơn để tránh các biện pháp chống phần mềm độc hại".

a1.jpg

Các cuộc tấn công được thực hiện thông qua kỹ thuật lừa đảo bằng “mồi nhử” có đính kèm tệp hình ảnh ISO trong thư email để phát tán phần mềm độc hại. Hình ảnh ISO bao gồm một tệp thực thi (Winword.exe), một trình tải (MSVCR100.dll) và một tài liệu Microsoft Word làm mồi nhử, tài liệu được nhúng với trình tải KamiKakaBot. Trình tải được thiết kế để tải phần mềm độc hại KamiKakaBot bằng cách tận dụng phương pháp tải thư viện liên kết động (DLL) để tránh các biện pháp bảo vệ và tải nó vào bộ nhớ của tệp nhị phân Winword.exe.

KamiKakaBot chủ yếu được thiết kế để đánh cắp dữ liệu được lưu trữ trong trình duyệt web và thực thi mã từ xa bằng Command Prompt (cmd.exe), đồng thời áp dụng các kỹ thuật trốn tránh để hòa nhập với môi trường nạn nhân và cản trở việc phát hiện.

Chúng xâm nhập máy chủ bằng cách lạm dụng thư viện trình trợ giúp Winlogon để thực hiện các sửa đổi khóa Windows Registry độc hại. Dữ liệu được thu thập sau đó được lọc ra bot Telegram dưới dạng kho lưu trữ ZIP.

Theo một công ty có trụ sở tại Amsterdam: “Việc sử dụng các dịch vụ web hợp pháp làm máy chủ điều khiển lệnh (C2) như Telegram, vẫn là lựa chọn số một của các tác nhân đe dọa khác nhau, từ tội phạm mạng thông thường đến các tác nhân đe dọa dai dẳng nâng cao. Nhóm APT Dark Pink rất có thể là một tác nhân đe dọa có động cơ gián điệp mạng đặc biệt khai thác mối quan hệ giữa các quốc gia ASEAN và châu Âu để tạo ra các chiêu dụ lừa đảo trong chiến dịch tháng 22023"./.

Bài liên quan
  • Tấn công mạng, phát tán phần mềm độc hại vẫn phức tạp
    Khi bối cảnh các mối đe dọa và bề mặt tấn công của các tổ chức liên tục thay đổi, tội phạm mạng cũng nhanh chóng điều chỉnh các kỹ thuật của chúng cho phù hợp nhằm tiếp tục gây nên những thiệt hại đáng kể cho các doanh nghiệp thuộc mọi quy mô, trong bất kể lĩnh vực hay khu vực địa lý nào.
Nổi bật Tạp chí Thông tin & Truyền thông
  • Thái Nguyên hướng tới trung tâm ứng dụng blockchain của quốc gia
    Theo Chủ tịch UBND tỉnh Thái Nguyên Nguyễn Huy Dũng, Thái Nguyên đang hướng tới việc xây dựng trở thành một trung tâm đổi mới sáng tạo với những lĩnh vực như nghệ thuật số, tài sản số... Do đó, blockchain sẽ được sử dụng như một công cụ mới để giải quyết những vấn đề mà trước đây chưa làm được.
  • “Muốn đất nước vươn mình phải nghĩ khác, làm khác”
    TS Mai Liêm Trực, nguyên Tổng cục trưởng Tổng cục Bưu điện, nguyên Thứ trưởng Thường trực Bộ Bưu chính Viễn thông - người góp công lớn đưa internet về Việt Nam đã dành cho Nhân Dân hằng tháng cuộc trao đổi chung quanh Nghị quyết 57-NQ/TW về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia của Bộ Chính trị vừa mới ban hành và những vấn đề mang tính chiến lược trong kỷ nguyên vươn mình của dân tộc.
  • Cuốn sách giải mã sự bí ẩn và chuyển hoá kỳ diệu của số 0
    Trong lịch sử nhân loại, hiếm có khái niệm nào vừa gây tranh cãi dữ dội lại vừa có sức ảnh hưởng sâu rộng như số 0.
  • “AI: Cơ hội và thách thức với công tác tuyên giáo”
    Sự trỗi dậy của AI đang làm biến đổi sâu sắc không chỉ công cụ truyền thông, mà cả cách con người tiếp cận sự thật, niềm tin và ý nghĩa. Trong làn sóng đó, trí thức không còn chỉ là người phân tích hay cung cấp thông tin, mà còn phải là người kiến tạo định hướng - cho cộng đồng, cho chính sách, và cho chính mình.
  • Phần mềm tống tiền khét tiếng và gây thiệt hại nhất mọi thời đại
    Ransomware (phần mềm tống tiền) và các băng nhóm tội phạm đứng sau chúng đã gây ra thiệt hại nghiêm trọng cho hàng triệu doanh nghiệp (DN) trên toàn cầu, với con số tổn thất lên đến hàng tỷ USD.
Đừng bỏ lỡ
Phần mềm độc hại KamiKakaBot nhắm vào các mục tiêu Đông Nam Á
POWERED BY ONECMS - A PRODUCT OF NEKO