KamiKakaBot Malware Used in Latest Dark Pink APT Attacks on Southeast Asian Targets
กลุ่ม Dark Pink ได้ใช้มัลแวร์ KamiKakaBot ใช้ในการโจมตีแบบ advanced persistent threat (APT) โดยมีเป้าหมายไปที่หน่วยงานรัฐบาลและหน่วยงานทางทหารของประเทศต่างๆในภูมิภาคเอเชียตะวันออกเฉียงใต้ Dark Pink หรือที่เรียกว่า Saaiwc ได้รับการกล่าวถึงอย่างกว้างขวางโดย Group-IB เมื่อต้นปีนี้ โดยอธิบายว่ากลุ่ม Dark Pink ได้ใช้มัลแวร์ที่สร้างขึ้นเองในการโจมตี เช่น TelePowerBot และ KamiKakaBot เพื่อรันคำสั่งตามอำเภอใจและขโมยข้อมูลส่วนบุคคล การโจมตีครั้งล่าสุดนั้นเกิดขึ้นในเดือนกุมภาพันธ์ พ.ศ. 2566 เกือบจะเหมือนกับการโจมตีครั้งก่อนๆ แต่มัลแวร์ที่ใช้ในการโจมตีนั้นได้รับการปรับปรุงให้สามารถหลบเลี่ยงการตรวจจับได้ดียิ่งขึ้น
การโจมตีดังกล่าวเกิดขึ้นในรูปแบบของ social engineering ที่มีการแนบไฟล์อิมเมจ ISO ในข้อความอีเมลเพื่อใช้แพร่กระจายมัลแวร์ ซึ่งอิมเมจ ISO ประกอบด้วยไฟล์ติดตั้ง Winword.exe, ตัวโหลด MSVCR100.dll และเอกสารปลอม ของ Microsoft Word ซึ่งอันหลังมาพร้อมกับเพย์โหลด KamiKakaBot ในส่วนของตัวโหลดนั้นออกแบบมาเพื่อโหลดมัลแวร์ KamiKakaBot โดยใช้ประโยชน์จากวิธีการโหลดของ DLL เพื่อหลบเลี่ยงการป้องกันด้านความปลอดภัยและโหลดลงในหน่วยความจำของไบนารี Winword.exe
KamiKakaBot ได้รับการออกแบบมาเพื่อขโมยข้อมูลที่จัดเก็บไว้ในเว็บเบราว์เซอร์เป็นหลัก และรันโค้ดจากระยะไกลโดยใช้ Command Prompt (cmd.exe) ในขณะเดียวกันก็นำเทคนิคการหลบเลี่ยงการตรวจจับมาใช้เพื่อให้คงอยู่บนโฮสต์ของเหยื่อและขัดขวางการตรวจจับ การคงอยู่ของโฮสต์ที่ถูกบุกรุกทำได้โดยการใช้ไลบรารี Winlogon Helper เพื่อทำการแก้ไข Windows Registry key ที่เป็นอันตราย หลังจากนั้นจะนำข้อมูลที่รวบรวมได้จะถูกส่งต่อไปยัง Telegram bot เป็นไฟล์ ZIP ปัจจุบันกลุ่ม Dark Pink มีแนวโน้มสูงว่าจะเป็นผู้ก่อภัยคุกคามที่มีแรงจูงใจในการโจมตีทางไซเบอร์ โดยเจาะจงไปที่ประเทศในอาเซียนและยุโรปเพื่อใช้แคมเปญฟิชชิ่งในการโจมตี
https://thehackernews.com/2023/03/kamikakabot-malware-used-in-latest-dark.html