KamiKakaBot
Une nouvelle vague de cyberattaques a été détectée, ciblant des organisations gouvernementales et militaires dans les pays d'Asie du Sud-Est. Ces attaques sont attribuées au groupe Dark Pink APTA Advanced Persistent Threat (Advanced Persistent Threat), également connu sous le nom de Saaiwc. Parmi les outils personnalisés utilisés par Dark Pink figurent TelePowerBot et KamiKakaBot, qui permettent au groupe d'exécuter des commandes arbitraires et de voler des données sensibles sur les appareils infectés.
On pense que Dark Pink est originaire de la région Asie-Pacifique et est actif depuis au moins la mi-2021. Cependant, ses activités se sont intensifiées en 2022 et 2023, comme en témoignent les récentes attaques contre des entités gouvernementales et militaires en Asie du Sud-Est. L'utilisation de logiciels malveillants sophistiqués tels que KamiKakaBot souligne les capacités et la détermination du groupe à atteindre ses objectifs. Ces attaques constituent une grave menace pour la sécurité nationale et soulignent la nécessité d'une vigilance accrue et de mesures proactives pour atténuer le risque de cyberattaques.
Les pirates utilisent des tactiques de phishing et des documents leurres
Selon un récent rapport de la société néerlandaise de cybersécurité EclecticIQ, une nouvelle vague d'attaques a été découverte en février 2023 qui ressemblait beaucoup aux attaques précédentes. Cependant, il y avait une différence significative dans cette campagne : la routine d'obscurcissement du malware a été améliorée pour mieux éviter la détection par des mesures anti-malware.
Les attaques suivent une stratégie d'ingénierie sociale qui consiste à envoyer des e-mails contenant des pièces jointes de fichiers image ISO à des cibles sans méfiance. Le fichier image ISO contient trois composants : un exécutable (Winword.exe), un chargeur (MSVCR100.dll) et un document Microsoft Word leurre. Le document Word est une distraction, tandis que le chargeur est responsable du chargement du logiciel malveillant KamiKakaBot.
Pour échapper aux protections de sécurité, le chargeur utilise la méthode de chargement latéral DLL pour charger KamiKakaBot dans la mémoire du binaire Winword.exe. Cette méthode permet au logiciel malveillant de contourner les mesures de sécurité qui l'empêcheraient autrement de s'exécuter.
KamiKakaBot peut voler des informations sensibles sur les appareils piratés
KamiKakaBot est un logiciel malveillant conçu pour infiltrer les navigateurs Web et voler des données sensibles. Ce logiciel malveillant est également capable d'exécuter du code à distance à l'aide de l'invite de commande (cmd.exe). Pour échapper à la détection, le logiciel malveillant intègre des techniques sophistiquées pour se fondre dans l'environnement de la victime et éviter la détection.
Une fois qu'un hôte est compromis, le logiciel malveillant établit la persistance en abusant de la bibliothèque Winlogon Helper pour apporter des modifications malveillantes à la clé de registre Windows. Cela permet au logiciel malveillant de ne pas être détecté et de continuer à mener ses activités malveillantes. Les données volées sont ensuite envoyées à un bot Telegram sous forme d'archive ZIP.
Selon les experts en cybersécurité, l'utilisation de services Web légitimes tels que Telegram en tant que serveur de commande et de contrôle (C2, C&C) est une tactique courante utilisée par les acteurs de la menace. Cette approche rend plus difficile la détection et l'arrêt du logiciel malveillant, car le trafic semble être une communication légitime avec le service Web. Ces tactiques sont utilisées non seulement par les cybercriminels réguliers, mais également par les acteurs avancés de menaces persistantes.
Compte tenu de la sophistication croissante de ces attaques, il est essentiel que les organisations prennent des mesures proactives pour prévenir les cyberattaques. Cela comprend la mise en œuvre de mesures de sécurité robustes pour se protéger contre les logiciels malveillants, la mise à jour des logiciels et la formation des employés sur la façon d'identifier et d'éviter les attaques de phishing.
