13 mars 2023Ravie LakshmananCyberattaque/malware

Logiciel Malveillant Kamikakabot

Le Rose foncé L’acteur de la menace persistante avancée (APT) a été lié à une nouvelle série d’attaques ciblant des entités gouvernementales et militaires dans les pays d’Asie du Sud-Est avec un malware appelé KamiKakaBot.

Dark Pink, également appelé Saaiwc, a été présenté pour la première fois par Group-IB plus tôt cette année, décrivant son utilisation d’outils personnalisés tels que TelePowerBot et KamiKakaBot pour exécuter des commandes arbitraires et exfiltrer des informations sensibles.

L’acteur menaçant est soupçonné d’être d’origine Asie-Pacifique et est actif depuis au moins la mi-2021, avec un rythme accéléré observé en 2022.

« Les dernières attaques, qui ont eu lieu en février 2023, étaient presque identiques aux attaques précédentes », a déclaré la société néerlandaise de cybersécurité EclecticIQ. divulgué dans un nouveau rapport publié la semaine dernière.

Publicité

« La principale différence dans la campagne de février est que la routine d’obscurcissement du malware s’est améliorée pour mieux échapper aux mesures anti-malware. »

Les attaques se déroulent sous la forme de leurres d’ingénierie sociale qui contiennent des pièces jointes de fichiers image ISO dans des messages électroniques pour diffuser le logiciel malveillant.

L’image ISO comprend un exécutable (Winword.exe), un chargeur (MSVCR100.dll) et un document Microsoft Word leurre, ce dernier étant intégré à la charge utile KamiKakaBot.

Logiciel Malveillant Kamikakabot

Le chargeur, quant à lui, est conçu pour charger le malware KamiKakaBot en exploitant le Méthode de chargement latéral DLL pour échapper aux protections de sécurité et le charger dans la mémoire du binaire Winword.exe.

KamiKakaBot est principalement conçu pour voler des données stockées dans les navigateurs Web et exécuter du code à distance à l’aide de l’invite de commande (cmd.exe), tout en adoptant des techniques d’évasion pour se fondre dans les environnements des victimes et entraver la détection.

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.

RÉSERVEZ VOTRE PLACE

La persistance sur l’hôte compromis est obtenue en abusant de la Bibliothèque d’aide Winlogon pour apporter des modifications malveillantes à la clé du registre Windows. Les données recueillies sont ensuite exfiltrées vers un bot Telegram sous forme d’archive ZIP.

« L’utilisation de services Web légitimes en tant que serveur de commande et de contrôle (C2), tels que Telegram, reste le choix numéro un pour différents acteurs de la menace, allant des cybercriminels réguliers aux acteurs avancés de la menace persistante », a déclaré la société basée à Amsterdam. a dit.

« Le groupe Dark Pink APT est très probablement un acteur menaçant motivé par le cyberespionnage qui exploite spécifiquement les relations entre l’ASEAN et les pays européens pour créer des leurres de phishing lors de la campagne de février 2023. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentBosanimal Anime révèle 2 membres de la distribution, première le 3 avril – News 24
Article suivantRick et Michonne ne reviendront pas en 2023
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici