El Rosa oscuro El actor de amenazas persistentes avanzadas (APT) se ha relacionado con un nuevo conjunto de ataques dirigidos a entidades gubernamentales y militares en países del sudeste asiático con un malware llamado KamiKakaBot.
Dark Pink, también llamado Saaiwc, fue perfilado por primera vez por Group-IB a principios de este año, describiendo su uso de herramientas personalizadas como TelePowerBot y KamiKakaBot para ejecutar comandos arbitrarios y filtrar información confidencial.
Se sospecha que el actor de amenazas es de origen de Asia-Pacífico y ha estado activo desde al menos mediados de 2021, con un aumento del ritmo observado en 2022.
«Los últimos ataques, que tuvieron lugar en febrero de 2023, fueron casi idénticos a los ataques anteriores», dijo la empresa holandesa de ciberseguridad EclecticIQ. revelado en un nuevo informe publicado la semana pasada.
«La principal diferencia en la campaña de febrero es que la rutina de ofuscación del malware ha mejorado para evadir mejor las medidas antimalware».
Los ataques se desarrollan en forma de señuelos de ingeniería social que contienen archivos adjuntos de imágenes ISO en mensajes de correo electrónico para entregar el malware.
La imagen ISO incluye un ejecutable (Winword.exe), un cargador (MSVCR100.dll) y un documento de Microsoft Word de señuelo, el último de los cuales viene integrado con la carga útil de KamiKakaBot.
El cargador, por su parte, está diseñado para cargar el malware KamiKakaBot aprovechando el Método de carga lateral de DLL para evadir las protecciones de seguridad y cargarlo en la memoria del binario Winword.exe.
KamiKakaBot está diseñado principalmente para robar datos almacenados en navegadores web y ejecutar código remoto mediante el símbolo del sistema (cmd.exe), al tiempo que adopta técnicas de evasión para mezclarse con los entornos de las víctimas y dificultar la detección.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
La persistencia en el host comprometido se logra abusando de la Biblioteca auxiliar de Winlogon para realizar modificaciones maliciosas en las claves del Registro de Windows. Los datos recopilados se extraen posteriormente a un bot de Telegram como un archivo ZIP.
«El uso de servicios web legítimos como un servidor de comando y control (C2), como Telegram, sigue siendo la opción número uno para diferentes actores de amenazas, que van desde ciberdelincuentes regulares hasta actores de amenazas persistentes avanzados», dijo la compañía con sede en Ámsterdam. dicho.
«El grupo Dark Pink APT es muy probablemente un actor de amenazas motivado por el espionaje cibernético que explota específicamente las relaciones entre la ASEAN y las naciones europeas para crear señuelos de phishing durante la campaña de febrero de 2023».