Malware KamiKakaBot usado nos mais recentes ataques do APT Dark Pink contra alvos do Sudeste Asiático
14 de Março de 2023

O ator de ameaça persistente avançada (APT) Dark Pink foi conectado a um novo conjunto de ataques direcionados a entidades governamentais e militares em países do sudeste asiático com um malware chamado KamiKakaBot.

Dark Pink, também chamado de Saaiwc, foi extensivamente perfilado pela Group-IB no início deste ano, descrevendo seu uso de ferramentas personalizadas como TelePowerBot e KamiKakaBot para executar comandos arbitrários e exfiltrar informações sensíveis.

O ator de ameaça é suspeito de ser de origem Ásia-Pacífico e está ativo desde pelo menos meados de 2021, com um ritmo aumentado observado em 2022.

"Os últimos ataques, que ocorreram em fevereiro de 2023, foram quase idênticos aos ataques anteriores", divulgou a empresa holandesa de segurança cibernética EclecticIQ em um novo relatório publicado na semana passada.

"A principal diferença na campanha de fevereiro é que a rotina de obfuscação do malware melhorou para evadir melhor as medidas anti-malware."

Os ataques se desenrolam na forma de iscas de engenharia social que contêm anexos de arquivos de imagem ISO em mensagens de e-mail para distribuir o malware.

A imagem ISO inclui um executável (Winword.exe), um carregador (MSVCR100.dll) e um documento do Microsoft Word falso, este último incorporado com a carga útil KamiKakaBot.

O carregador, por sua vez, é projetado para carregar o malware KamiKakaBot usando o método de carregamento lateral de DLL para evadir proteções de segurança e carregá-lo na memória do binário Winword.exe.

O KamiKakaBot é principalmente projetado para roubar dados armazenados em navegadores da web e executar código remoto usando o Prompt de Comando (cmd.exe), enquanto também abraça técnicas de evasão para se misturar com os ambientes das vítimas e dificultar a detecção.

A persistência no host comprometido é alcançada abusando da biblioteca Winlogon Helper para fazer modificações maliciosas na chave do Registro do Windows.

Os dados coletados são posteriormente exfiltrados para um bot do Telegram como um arquivo ZIP.

"O uso de serviços web legítimos como servidor de comando e controle (C2), como o Telegram, continua sendo a escolha número um para diferentes atores de ameaças, desde criminosos cibernéticos regulares até atores de ameaças persistentes avançadas", disse a empresa sediada em Amsterdã.

"O grupo Dark Pink APT é muito provavelmente um ator de ameaça motivado por espionagem cibernética que explora especificamente as relações entre ASEAN e nações europeias para criar iscas de phishing durante a campanha de fevereiro de 2023."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...