KamiKakaBot

Eine neue Welle von Cyberangriffen wurde entdeckt, die auf Regierungs- und Militärorganisationen in südostasiatischen Ländern abzielt. Diese Angriffe werden der Gruppe Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), auch bekannt als Saaiwc, zugeschrieben. Zu den von Dark Pink verwendeten benutzerdefinierten Tools gehören TelePowerBot und KamiKakaBot, die es der Gruppe ermöglichen, beliebige Befehle auszuführen und vertrauliche Daten von den infizierten Geräten zu stehlen.

Es wird angenommen, dass Dark Pink aus dem asiatisch-pazifischen Raum stammt und seit mindestens Mitte 2021 aktiv ist. Ihre Aktivitäten eskalierten jedoch in den Jahren 2022 und 2023, wie die jüngsten Angriffe auf Regierungs- und Militäreinheiten in Südostasien zeigen. Der Einsatz ausgeklügelter Malware wie KamiKakaBot unterstreicht die Fähigkeiten und die Entschlossenheit der Gruppe, ihre Ziele zu erreichen. Diese Angriffe stellen eine ernsthafte Bedrohung für die nationale Sicherheit dar und unterstreichen die Notwendigkeit erhöhter Wachsamkeit und proaktiver Maßnahmen zur Minderung des Risikos von Cyberangriffen.

Die Hacker verwenden Phishing-Taktiken und Lockdokumente

Laut einem aktuellen Bericht des niederländischen Cybersicherheitsunternehmens EclecticIQ wurde im Februar 2023 eine neue Angriffswelle entdeckt, die früheren Angriffen sehr ähnlich war. Bei dieser Kampagne gab es jedoch einen wesentlichen Unterschied: Die Verschleierungsroutine der Malware wurde verbessert, um eine Erkennung durch Anti-Malware-Maßnahmen besser zu vermeiden.

Die Angriffe folgen einer Social-Engineering-Strategie, bei der E-Mail-Nachrichten mit Anhängen von ISO-Image-Dateien an ahnungslose Ziele gesendet werden. Die ISO-Image-Datei enthält drei Komponenten: eine ausführbare Datei (Winword.exe), einen Loader (MSVCR100.dll) und ein Köder-Microsoft-Word-Dokument. Das Word-Dokument lenkt ab, während der Loader für das Laden der KamiKakaBot-Malware zuständig ist.

Um Sicherheitsmaßnahmen zu umgehen, verwendet der Loader die DLL-Side-Loading-Methode, um KamiKakaBot in den Speicher der Winword.exe-Binärdatei zu laden. Diese Methode ermöglicht es der Malware, Sicherheitsmaßnahmen zu umgehen, die andernfalls die Ausführung verhindern würden.

KamiKakaBot kann vertrauliche Informationen von den angegriffenen Geräten stehlen

KamiKakaBot ist ein bösartiges Softwareprogramm, das entwickelt wurde, um Webbrowser zu infiltrieren und vertrauliche Daten zu stehlen. Diese Malware ist auch in der Lage, Remote-Code über die Eingabeaufforderung (cmd.exe) auszuführen. Um der Erkennung zu entgehen, enthält die Malware ausgeklügelte Techniken, um sich in die Umgebung des Opfers einzufügen und eine Erkennung zu vermeiden.

Sobald ein Host kompromittiert ist, stellt die Malware Persistenz her, indem sie die Winlogon Helper-Bibliothek missbraucht, um böswillige Änderungen am Windows-Registrierungsschlüssel vorzunehmen. Dadurch kann die Malware unentdeckt bleiben und weiterhin ihre schädlichen Aktivitäten ausführen. Die gestohlenen Daten werden dann als ZIP-Archiv an einen Telegram-Bot gesendet.

Laut Cybersicherheitsexperten ist die Verwendung legitimer Webdienste wie Telegram als Command-and-Control (C2, C&C)-Server eine gängige Taktik von Bedrohungsakteuren. Dieser Ansatz erschwert das Erkennen und Abschalten der Malware, da es sich bei dem Datenverkehr scheinbar um legitime Kommunikation mit dem Webdienst handelt. Diese Taktiken werden nicht nur von regulären Cyberkriminellen, sondern auch von fortgeschrittenen Akteuren hartnäckiger Bedrohungen eingesetzt.

Angesichts der zunehmenden Raffinesse dieser Angriffe ist es für Unternehmen von entscheidender Bedeutung, proaktive Maßnahmen zu ergreifen, um Cyberangriffe zu verhindern. Dazu gehören die Implementierung robuster Sicherheitsmaßnahmen zum Schutz vor Malware, die Aktualisierung der Software und die Schulung der Mitarbeiter, wie sie Phishing-Angriffe erkennen und vermeiden können.