-->
الصفحة الرئيسية

KamiKakaBot البرامج الضارة المستخدمة في أحدث هجمات APT ذات اللون الوردي الداكن على أهداف جنوب شرق آسيا

 


تم ربط ممثل التهديد المستمر المتطور (APT) لمجموعة Dark Pink بمجموعة جديدة من الهجمات التي تستهدف الكيانات الحكومية والعسكرية في دول جنوب شرق آسيا ببرنامج ضار يسمى KamiKakaBot.

تم تصنيف Dark Pink ، المعروف أيضًا باسم Saaiwc ، على نطاق واسع من قبل Group-IB في وقت سابق من هذا العام ، واصفًا استخدامه لأدوات مخصصة مثل TelePowerBot و KamiKakaBot لتشغيل أوامر تعسفية ونقل المعلومات الحساسة.

يُشتبه في أن يكون مصدر التهديد من منطقة آسيا والمحيط الهادئ وكان نشطًا منذ منتصف عام 2021 على الأقل ، مع ملاحظة زيادة في الإيقاع في عام 2022.

كشفت شركة الأمن السيبراني الهولندية EclecticIQ في تقرير جديد نُشر الأسبوع الماضي أن "الهجمات الأخيرة ، التي وقعت في فبراير 2023 ، كانت متطابقة تقريبًا مع الهجمات السابقة" .

"الاختلاف الرئيسي في حملة فبراير هو أن روتين التعتيم على البرامج الضارة قد تحسن لتفادي إجراءات مكافحة البرامج الضارة بشكل أفضل."

تتم الهجمات على شكل إغراءات الهندسة الاجتماعية التي تحتوي على مرفقات ملف صورة ISO في رسائل البريد الإلكتروني لتسليم البرامج الضارة.

تتضمن صورة ISO ملفًا تنفيذيًا (Winword.exe) ، ومحمل (MSVCR100.dll) ، ووثيقة Microsoft Word ، والتي تأتي الأخيرة مضمنة مع حمولة KamiKakaBot.


تم تصميم أداة التحميل ، من جانبها ، لتحميل البرامج الضارة KamiKakaBot من خلال الاستفادة من طريقة التحميل الجانبي لـ DLL للتهرب من الحماية الأمنية وتحميلها في ذاكرة Winword.exe الثنائي.

تم تصميم KamiKakaBot بشكل أساسي لسرقة البيانات المخزنة في متصفحات الويب وتنفيذ التعليمات البرمجية عن بُعد باستخدام موجه الأوامر (cmd.exe) ، مع احتضان تقنيات التهرب للاندماج مع بيئات الضحايا وإعاقة الكشف.

يتحقق الثبات على المضيف المخترق من خلال إساءة استخدام مكتبة Winlogon Helper لإجراء تعديلات على مفتاح تسجيل Windows الضار. يتم نقل البيانات التي تم جمعها لاحقًا إلى روبوت Telegram كأرشيف ZIP.

"يظل استخدام خدمات الويب المشروعة كخادم للقيادة والسيطرة (C2) ، مثل Telegram ، هو الخيار الأول لمختلف الجهات الفاعلة في مجال التهديد ، بدءًا من مجرمي الإنترنت العاديين إلى الجهات الفاعلة المتقدمة في مجال التهديد المستمر" ، وهي الشركة التي تتخذ من أمستردام مقراً لها قال.

"من المحتمل جدًا أن تكون مجموعة دارك بينك APT فاعل تهديد مدفوع بالتجسس الإلكتروني يستغل على وجه التحديد العلاقات بين الآسيان والدول الأوروبية لخلق إغراءات التصيد خلال حملة فبراير 2023."

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة