最新Dark Pink APT攻击中使用KamiKakaBot恶意软件针对东南亚目标

KamiKakaBot 恶意软件

Dark Pink高级持续威胁(APT)攻击者与一系列针对东南亚国家政府和军事实体的新攻击有关,该攻击使用名为KamiKakaBot 的恶意软件。

Dark Pink,也称为Saaiwc,今年早些时候首次被Group-IB描述,描述了它使用TelePowerBot和KamiKakaBot等自定义工具来运行任意命令并泄露敏感信息。

该威胁行为者被怀疑来自亚太地区,并且至少从2021年年中开始活跃,并在2022年观察到速度加快。

“最新的攻击发生在2023年2月,与之前的攻击几乎相同,”荷兰网络安全公司EclecticIQ在上周发布的一份新报告中透露。

“二月份活动的主要区别在于恶意软件的混淆程序已经改进,可以更好地规避反恶意软件措施。”

攻击以社交工程诱饵的形式展开,在电子邮件中包含 ISO 图像文件附件以传递恶意软件。

ISO 映像包括一个可执行文件(Winword.exe)、一个加载程序(MSVCR100.dll)和一个诱饵Microsoft Word文档,后者嵌入了 KamiKakaBot有效负载。

KamiKakaBot 恶意软件

就其本身而言,加载程序旨在通过利用DL 侧面加载方法来加载KamiKakaBot恶意软件,以规避安全保护并将其加载到 Winword.exe二进制文件的内存中。

KamiKakaBot主要设计用于窃取存储在Web浏览器中的数据并使用命令提示符(cmd.exe)执行远程代码,同时还采用规避技术以融入受害者环境并阻碍检测。

通过滥用Winlogon Helper库对Windows注册表项进行恶意修改来实现在受感染主机上的持久化。收集的数据随后作为 ZIP 存档泄露给Telegram机器人。

“使用合法的Web服务作为命令和控制(C2)服务器,例如Telegram,仍然是不同威胁参与者的第一选择,从普通的网络罪犯到高级持续威胁参与者,”这家总部位于阿姆斯特丹的公司说。

“Dark Pink APT组织很可能是一个以网络间谍为动机的威胁行为者,专门利用东盟与欧洲国家之间的关系在2023年2月的活动中制造网络钓鱼诱饵。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4894.html

标签