An toàn thông tin

Phần mềm độc hại KamiKakaBot nhắm vào các mục tiêu Đông Nam Á

Hạnh Tâm 20:25 13/03/2023

Tác nhân tấn công APT là Dark Pink đã được cho là có liên quan tới một loạt các cuộc tấn công mới nhắm vào các tổ chức chính phủ và quân đội ở các quốc gia Đông Nam Á bằng phần mềm độc hại có tên KamiKakaBot.

Dark Pink, còn được gọi là Saaiwc, được Group-IB phát hiện hồi đầu năm nay. Nó sử dụng các công cụ tùy chỉnh như TelePowerBot và KamiKakaBot để chạy các lệnh tùy ý và lọc thông tin nhạy cảm. Tác nhân đe dọa bị nghi ngờ có nguồn gốc từ Châu Á - Thái Bình Dương, đã hoạt động ít nhất là từ giữa năm 2021 và gia tăng các hoạt động vào năm 2022.

Công ty an ninh mạng Hà Lan EclecticIQ cho biết: “Các cuộc tấn công mới nhất, diễn ra vào tháng 2/2023, gần giống với các cuộc tấn công trước đó”. "Sự khác biệt chính trong chiến dịch tháng 2/2023 là hoạt động của phần mềm độc hại đã được cải thiện tốt hơn để tránh các biện pháp chống phần mềm độc hại".

a1.jpg

Các cuộc tấn công được thực hiện thông qua kỹ thuật lừa đảo bằng “mồi nhử” có đính kèm tệp hình ảnh ISO trong thư email để phát tán phần mềm độc hại. Hình ảnh ISO bao gồm một tệp thực thi (Winword.exe), một trình tải (MSVCR100.dll) và một tài liệu Microsoft Word làm mồi nhử, tài liệu được nhúng với trình tải KamiKakaBot. Trình tải được thiết kế để tải phần mềm độc hại KamiKakaBot bằng cách tận dụng phương pháp tải thư viện liên kết động (DLL) để tránh các biện pháp bảo vệ và tải nó vào bộ nhớ của tệp nhị phân Winword.exe.

KamiKakaBot chủ yếu được thiết kế để đánh cắp dữ liệu được lưu trữ trong trình duyệt web và thực thi mã từ xa bằng Command Prompt (cmd.exe), đồng thời áp dụng các kỹ thuật trốn tránh để hòa nhập với môi trường nạn nhân và cản trở việc phát hiện.

Chúng xâm nhập máy chủ bằng cách lạm dụng thư viện trình trợ giúp Winlogon để thực hiện các sửa đổi khóa Windows Registry độc hại. Dữ liệu được thu thập sau đó được lọc ra bot Telegram dưới dạng kho lưu trữ ZIP.

Theo một công ty có trụ sở tại Amsterdam: “Việc sử dụng các dịch vụ web hợp pháp làm máy chủ điều khiển lệnh (C2) như Telegram, vẫn là lựa chọn số một của các tác nhân đe dọa khác nhau, từ tội phạm mạng thông thường đến các tác nhân đe dọa dai dẳng nâng cao. Nhóm APT Dark Pink rất có thể là một tác nhân đe dọa có động cơ gián điệp mạng đặc biệt khai thác mối quan hệ giữa các quốc gia ASEAN và châu Âu để tạo ra các chiêu dụ lừa đảo trong chiến dịch tháng 22023"./.

Bài liên quan
  • Tấn công mạng, phát tán phần mềm độc hại vẫn phức tạp
    Khi bối cảnh các mối đe dọa và bề mặt tấn công của các tổ chức liên tục thay đổi, tội phạm mạng cũng nhanh chóng điều chỉnh các kỹ thuật của chúng cho phù hợp nhằm tiếp tục gây nên những thiệt hại đáng kể cho các doanh nghiệp thuộc mọi quy mô, trong bất kể lĩnh vực hay khu vực địa lý nào.
Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Phần mềm độc hại KamiKakaBot nhắm vào các mục tiêu Đông Nam Á
POWERED BY ONECMS - A PRODUCT OF NEKO