An toàn thông tin

Phần mềm độc hại KamiKakaBot nhắm vào các mục tiêu Đông Nam Á

Hạnh Tâm 20:25 13/03/2023

Tác nhân tấn công APT là Dark Pink đã được cho là có liên quan tới một loạt các cuộc tấn công mới nhắm vào các tổ chức chính phủ và quân đội ở các quốc gia Đông Nam Á bằng phần mềm độc hại có tên KamiKakaBot.

Dark Pink, còn được gọi là Saaiwc, được Group-IB phát hiện hồi đầu năm nay. Nó sử dụng các công cụ tùy chỉnh như TelePowerBot và KamiKakaBot để chạy các lệnh tùy ý và lọc thông tin nhạy cảm. Tác nhân đe dọa bị nghi ngờ có nguồn gốc từ Châu Á - Thái Bình Dương, đã hoạt động ít nhất là từ giữa năm 2021 và gia tăng các hoạt động vào năm 2022.

Công ty an ninh mạng Hà Lan EclecticIQ cho biết: “Các cuộc tấn công mới nhất, diễn ra vào tháng 2/2023, gần giống với các cuộc tấn công trước đó”. "Sự khác biệt chính trong chiến dịch tháng 2/2023 là hoạt động của phần mềm độc hại đã được cải thiện tốt hơn để tránh các biện pháp chống phần mềm độc hại".

a1.jpg

Các cuộc tấn công được thực hiện thông qua kỹ thuật lừa đảo bằng “mồi nhử” có đính kèm tệp hình ảnh ISO trong thư email để phát tán phần mềm độc hại. Hình ảnh ISO bao gồm một tệp thực thi (Winword.exe), một trình tải (MSVCR100.dll) và một tài liệu Microsoft Word làm mồi nhử, tài liệu được nhúng với trình tải KamiKakaBot. Trình tải được thiết kế để tải phần mềm độc hại KamiKakaBot bằng cách tận dụng phương pháp tải thư viện liên kết động (DLL) để tránh các biện pháp bảo vệ và tải nó vào bộ nhớ của tệp nhị phân Winword.exe.

KamiKakaBot chủ yếu được thiết kế để đánh cắp dữ liệu được lưu trữ trong trình duyệt web và thực thi mã từ xa bằng Command Prompt (cmd.exe), đồng thời áp dụng các kỹ thuật trốn tránh để hòa nhập với môi trường nạn nhân và cản trở việc phát hiện.

Chúng xâm nhập máy chủ bằng cách lạm dụng thư viện trình trợ giúp Winlogon để thực hiện các sửa đổi khóa Windows Registry độc hại. Dữ liệu được thu thập sau đó được lọc ra bot Telegram dưới dạng kho lưu trữ ZIP.

Theo một công ty có trụ sở tại Amsterdam: “Việc sử dụng các dịch vụ web hợp pháp làm máy chủ điều khiển lệnh (C2) như Telegram, vẫn là lựa chọn số một của các tác nhân đe dọa khác nhau, từ tội phạm mạng thông thường đến các tác nhân đe dọa dai dẳng nâng cao. Nhóm APT Dark Pink rất có thể là một tác nhân đe dọa có động cơ gián điệp mạng đặc biệt khai thác mối quan hệ giữa các quốc gia ASEAN và châu Âu để tạo ra các chiêu dụ lừa đảo trong chiến dịch tháng 22023"./.

Bài liên quan
  • Tấn công mạng, phát tán phần mềm độc hại vẫn phức tạp
    Khi bối cảnh các mối đe dọa và bề mặt tấn công của các tổ chức liên tục thay đổi, tội phạm mạng cũng nhanh chóng điều chỉnh các kỹ thuật của chúng cho phù hợp nhằm tiếp tục gây nên những thiệt hại đáng kể cho các doanh nghiệp thuộc mọi quy mô, trong bất kể lĩnh vực hay khu vực địa lý nào.
Nổi bật Tạp chí Thông tin & Truyền thông
  • CĐS trong quản lý chuỗi cung ứng: 4 mục tiêu chính của DN
    Sau “cú sốc” gián đoạn vì đại dịch COVID-19 và các nguyên nhân địa chính trị khác, chuỗi cung ứng bây giờ đã trở thành “nhân vật chính” của nền kinh tế, chuyển từ chức năng hậu trường sang yếu tố tiên quyết, tác động đến khả năng thành bại của một doanh nghiệp (DN).
  • Đẩy mạnh chuyển đổi số để phát triển du lịch bền vững
    Trước tiên, hành trình của khách du lịch bắt đầu từ việc lên kế hoạch thời gian đi, quốc gia đến, thủ tục visa, vé máy bay bao nhiêu, quá trình bay, đặt khách sạn, thủ tục cửa khẩu.
  • Ra mắt chương trình truyền hình tôn vinh, giữ gìn và lan tỏa tiếng Việt
    Chương trình truyền hình "Chào tiếng Việt" xây dựng, đồng hành cùng giáo trình Chào tiếng Việt của tác giả Thụy Anh với ưu thế có thể dễ dàng tiếp cận trên truyền hình và các nền tảng số.
  • Thiếu kết nối giữa các đơn vị sẽ khiến CĐS gặp khó khăn
    Theo chia sẻ của các chuyên gia, sự thiếu kết nối, chia sẻ giữa các đơn vị làm công nghệ và các đơn vị phát triển ứng dụng, các đơn vị thụ hưởng sẽ dẫn tới các bài toán ứng dụng chưa chạm tới và chưa giải quyết triệt để các vấn đề của doanh nghiệp (DN).
  • Hưng Thịnh Phát tiên phong chuyển đổi số tại tỉnh Thái Bình
    Triển khai đồng thời cả 3 bộ giải pháp quản trị công việc, quy trình và dự án Base Work+, quản trị nhân sự toàn diện Base HRM+ và quản trị thông tin Base Info+ cho 540 nhân sự, Hưng Thịnh Phát đã khẳng định vai trò là một trong những doanh nghiệp (DN) lớn tiếp tục tiên phong CĐS tại tỉnh Thái Bình.
Đừng bỏ lỡ
Phần mềm độc hại KamiKakaBot nhắm vào các mục tiêu Đông Nam Á
POWERED BY ONECMS - A PRODUCT OF NEKO