Phần mềm độc hại KamiKakaBot nhắm vào các mục tiêu Đông Nam Á
Tác nhân tấn công APT là Dark Pink đã được cho là có liên quan tới một loạt các cuộc tấn công mới nhắm vào các tổ chức chính phủ và quân đội ở các quốc gia Đông Nam Á bằng phần mềm độc hại có tên KamiKakaBot.
Dark Pink, còn được gọi là Saaiwc, được Group-IB phát hiện hồi đầu năm nay. Nó sử dụng các công cụ tùy chỉnh như TelePowerBot và KamiKakaBot để chạy các lệnh tùy ý và lọc thông tin nhạy cảm. Tác nhân đe dọa bị nghi ngờ có nguồn gốc từ Châu Á - Thái Bình Dương, đã hoạt động ít nhất là từ giữa năm 2021 và gia tăng các hoạt động vào năm 2022.
Công ty an ninh mạng Hà Lan EclecticIQ cho biết: “Các cuộc tấn công mới nhất, diễn ra vào tháng 2/2023, gần giống với các cuộc tấn công trước đó”. "Sự khác biệt chính trong chiến dịch tháng 2/2023 là hoạt động của phần mềm độc hại đã được cải thiện tốt hơn để tránh các biện pháp chống phần mềm độc hại".
Các cuộc tấn công được thực hiện thông qua kỹ thuật lừa đảo bằng “mồi nhử” có đính kèm tệp hình ảnh ISO trong thư email để phát tán phần mềm độc hại. Hình ảnh ISO bao gồm một tệp thực thi (Winword.exe), một trình tải (MSVCR100.dll) và một tài liệu Microsoft Word làm mồi nhử, tài liệu được nhúng với trình tải KamiKakaBot. Trình tải được thiết kế để tải phần mềm độc hại KamiKakaBot bằng cách tận dụng phương pháp tải thư viện liên kết động (DLL) để tránh các biện pháp bảo vệ và tải nó vào bộ nhớ của tệp nhị phân Winword.exe.
KamiKakaBot chủ yếu được thiết kế để đánh cắp dữ liệu được lưu trữ trong trình duyệt web và thực thi mã từ xa bằng Command Prompt (cmd.exe), đồng thời áp dụng các kỹ thuật trốn tránh để hòa nhập với môi trường nạn nhân và cản trở việc phát hiện.
Chúng xâm nhập máy chủ bằng cách lạm dụng thư viện trình trợ giúp Winlogon để thực hiện các sửa đổi khóa Windows Registry độc hại. Dữ liệu được thu thập sau đó được lọc ra bot Telegram dưới dạng kho lưu trữ ZIP.
Theo một công ty có trụ sở tại Amsterdam: “Việc sử dụng các dịch vụ web hợp pháp làm máy chủ điều khiển lệnh (C2) như Telegram, vẫn là lựa chọn số một của các tác nhân đe dọa khác nhau, từ tội phạm mạng thông thường đến các tác nhân đe dọa dai dẳng nâng cao. Nhóm APT Dark Pink rất có thể là một tác nhân đe dọa có động cơ gián điệp mạng đặc biệt khai thác mối quan hệ giữa các quốc gia ASEAN và châu Âu để tạo ra các chiêu dụ lừa đảo trong chiến dịch tháng 22023"./.
