カミカカボット

東南アジア諸国の政府機関や軍事組織を標的とした、新たなサイバー攻撃の波が検出されました。これらの攻撃は、Saaiwc としても知られる Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat) グループによるものです。 Dark Pink が使用するカスタム ツールには、TelePowerBot と KamiKakaBot があります。これらを使用すると、グループは任意のコマンドを実行し、感染したデバイスから機密データを盗むことができます。

ダークピンクはアジア太平洋地域に由来すると考えられており、少なくとも 2021 年半ばから活動しています。しかし、その活動は 2022 年と 2023 年にエスカレートしました。これは、東南アジアの政府および軍事組織に対する最近の攻撃によって証明されています。 KamiKakaBot などの高度なマルウェアの使用は、グループの能力と目的を達成する決意を強調しています。これらの攻撃は国家安全保障に深刻な脅威をもたらし、サイバー攻撃のリスクを軽減するために警戒を強化し、積極的な対策を講じる必要性を浮き彫りにしています。

ハッカーはフィッシング戦術とおとり文書を使用します

オランダのサイバーセキュリティ会社 EclecticIQ からの最近のレポートによると、2023 年 2 月に以前の攻撃とよく似た新しい攻撃の波が発見されました。ただし、このキャンペーンには 1 つの大きな違いがありました。マルウェアの難読化ルーチンが改善され、マルウェア対策による検出をより回避できるようになりました。

攻撃は、疑いを持たないターゲットに ISO イメージ ファイルが添付された電子メール メッセージを送信することを含む、ソーシャル エンジニアリング戦略に従います。 ISO イメージ ファイルには、実行可能ファイル (Winword.exe)、ローダー (MSVCR100.dll)、おとりの Microsoft Word ドキュメントの 3 つのコンポーネントが含まれています。 Word 文書は気を散らすものですが、ローダーは KamiKakaBot マルウェアのロードを担当します。

セキュリティ保護を回避するために、ローダーは DLL サイドローディング方式を使用して KamiKakaBot を Winword.exe バイナリのメモリにロードします。この方法により、マルウェアは、実行を妨げるセキュリティ対策を回避できます。

KamiKakaBot は侵害されたデバイスから機密情報を盗むことができます

KamiKakaBot は、Web ブラウザーに侵入して機密データを盗むように設計された悪意のあるソフトウェア プログラムです。このマルウェアは、コマンド プロンプト (cmd.exe) を使用してリモート コードを実行することもできます。検出を回避するために、マルウェアは洗練された技術を組み込んで被害者の環境に溶け込み、検出を回避します。

ホストが侵害されると、マルウェアは Winlogon Helper ライブラリを悪用して、Windows レジストリ キーに悪意のある変更を加えることで持続性を確立します。これにより、マルウェアは検出されず、悪意のあるアクティビティを実行し続けることができます。盗まれたデータは、ZIP アーカイブとして Telegram ボットに送信されます。

サイバーセキュリティの専門家によると、Telegram などの正当な Web サービスをコマンド アンド コントロール (C2、C&C) サーバーとして使用することは、攻撃者が使用する一般的な戦術です。このアプローチでは、トラフィックが Web サービスとの正当な通信であるように見えるため、マルウェアの検出とシャットダウンがより困難になります。これらの戦術は、通常のサイバー犯罪者だけでなく、高度で持続的な脅威アクターによっても採用されています。

これらの攻撃がますます巧妙化していることを考えると、組織がサイバー攻撃を防ぐために積極的な対策を講じることが重要です。これには、マルウェアから保護するための堅牢なセキュリティ対策の実装、ソフトウェアを最新の状態に保つこと、フィッシング攻撃を特定して回避する方法について従業員を教育することが含まれます。