新的深粉色APT攻击涉及KamiKakaBot恶意软件 媒体
新兴威胁组织:Dark Pink 的最新攻击手段
重点摘要
近期,名为 Dark Pink 的高级持续威胁APT组织对东南亚的政府和军事机构发起了新一轮攻击,使用了改进版的 KamiKakaBot 恶意软件。该组织的攻击手段与今年一月 GroupIB 最初报告的相似,但新更新的恶意软件具有更好的混淆能力。
从上个月开始,Dark Pink 利用带有 ISO 镜像附件的钓鱼邮件传播该恶意软件。这些附件内含一个伪装成 Microsoft Word 文档的 KamiKakaBot 恶意软件、一个加载器和一个可执行文件。一旦通过 DLL 侧加载加载了该恶意软件,KamiKakaBot 开始进行浏览器数据盗窃和远程代码执行,同时能躲避反病毒系统的检测。此外,KamiKakaBot 还利用 Winlogon Helper 库实现持久性,并通过 Telegram 机器人传输窃取的数据。EcleticIQ 表示:“利用合法的网络服务作为命令与控制C2服务器,例如 Telegram,依然是不同威胁行为者的首选,从普通网络犯罪者到高级持续威胁行为者。”
攻击细节
特征描述攻击组织Dark Pink (也称 Saaiwc)目标政府和军事机构恶意软件KamiKakaBot攻击方式钓鱼邮件,包含 ISO 镜像和伪装文档数据窃取方式浏览器数据盗窃与远程代码执行持久性实现利用 Winlogon Helper 库数据外泄方式通过 Telegram 机器人“不同类型的威胁行为者,包括高级持续威胁组织和普通网络犯罪者,仍旧倾向于使用合法的网络服务作为其命令与控制服务器。” EcleticIQ
猎豹每天免费1小时加速结论
Dark Pink 利用改变后的 KamiKakaBot 恶意软件展示了其攻击能力的增强,利用钓鱼邮件进行攻击并隐藏在合法服务之下,这对政府和军事机构构成了重大威胁。对此,相关组织应该加强其网络安全防护措施,以应对日益严峻的网络攻击形势。
2023年第一季度网络安全风险投资表现分析关键要点2023年第一季度记录到的网络安全风险投资交易仅为21笔,较前一季度下降50,较去年同期下降56。这一数据为自2015年第一季度以来的最低水平。尽管投资交易量大幅下降,网络安全公司的种子估值仍达到1550万美元,接近前一季度的中位数估值。种子阶段公司...