Dark Pink APT Group Deploys KamiKakaBot Against South Asian Entities
2023/03/13 InfoSecurity — Dark Pink として知られる脅威アクターが、ASEAN (東南アジア諸国連合) 諸国の複数の政府機関に対する KamiKakaBot マルウェアの配布に関与していたことが判明した。先週に EclecticIQ の研究者たちは、2023年2月に行われた攻撃に関するレポートを公開した。このレポートでは、「この新しいキャンペーンでは、東南アジア諸国の軍事/政府機関に対するソーシャル・エンジニアリングのルアーとして、ヨーロッパと ASEAN 諸国の交流関係が悪用されている可能性が非常に高い。EclecticIQ の研究者たちは、このグループの国籍を特定するだけの決定的な証拠を得ていないが、攻撃者の目的や行動パターンから、Dark Pink は中国の APT グループであろうと考えている」と説明されている。
この悪意のキャンペーンは、Group-IB が以前に発見したものとほぼ同一であると、EclecticIQ の研究者たちは述べている。
同社のレポートには、「2023年1月にも、脅威アクターは ISO イメージを使用して KamiKakaBot を配信し、DLL のサイドローディング技法を使用し、そのマルウェアを実行していた。2023年2月のキャンペーンで変更されたのは、マルウェアの難読化ルーチンの改良であり、それによりマルウェア対策を回避できるようになった点だ」と書かれている。
Dark Pink の最新の攻撃では、フィッシング・メールで KamiKakaBot マルウェアが配信されている。同マルウェアの目的は、Chrome/Edge/Firefox などのブラウザから、認証情報/閲覧履歴/Cookie を盗み出すことであり、また、リモート・コード実行 (RCE) 機能も備えている。
EclecticIQ は、「KamiKakaBot の開発者は、感染させたデバイス上で悪意のアクションを実行し、検出を逃れるための、技術を採用している。たとえば、彼らは被害者のデバイス上で KamiKakaBot マルウェアを実行するために、Living-Off-the-Land Binaries (LOLBINs) を使用している。さらに、Telegram を中心とした正規の Web サービスを、C2 (Command and Control) サーバとして使用することで、その身を隠している」と記している。
Dark Pink などの脅威からシステムを保護するための対策として、安全な DLL 検索モードの使用/グループ・ポリシーによる ISO イメージ・マウントの無効化/グループ・ポリシーによるブラウザのパスワード保存の無効化/ファイアウォールとエンドポイントへの最高レベルの保護の導入などを、EclecticIQ は推奨している。
先日には、電話攻撃や多要素認証 (MFA) バイパス技術により、2022年にフィッシング攻撃が増加したことを、Proofpoint のデータが示唆していた。それから週間後に、EclecticIQ のアドバイザリは発表された。
このブログに Dark Pink が登場するのは、これで二度目となります。2023/01/11 の「Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成」には、Group-IB のレポートをベースにした記事であり、その戦術の詳細が語られています。よろしければ、カテゴリ APT も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.