見つけにくくなっていくKamiKakaBot
KamiKakaBotはAPTグループの使用するインフォスティーラーマルウェアです。
2023年の最初くらいから活動が観測されていますが、観測以降も開発が継続しており、継続的に回避機構が拡張されています。
KamiKakaBotはどんな動きをするのでしょう。
- フィッシングメールから開始
開始はメールです。
そのメールにはisoファイルが添付されています。 - isoのなかにはMicrosoft OfficeのWORD
isoのなかにはMS-WORDが含まれています。
これは正規の実行ファイルです。
しかしそのisoのなかのWORDと同じPATHに置かれているMSVCR100.dllを読み込んで動作してしまいます。
DLLサイドローディングです。
普通のMSVCR100.dllであれば別によいのですが、このMSVCR100.dllは攻撃者が準備したものになっています。 - MSVCR100.dllはローダー
普通のMSVCR100.dllには含まれない機能ですが、このMSVCR100.dllにはローダー機能があります。
同じくisoに含まれるWORD文書のなかに隠された暗号化されたペイロードを処理します。
ローダーはデータを読み取って復号化し、ディスクに保存します。
この保存されるペイロードがKamiKakaBotです。 - Winlogonによる永続化
KamiKakaBotの実際の活動を開始する前に永続化も施されます。 - 感染後の活動
感染後の最初の活動として、KamiKakaBot自身を更新することや追加のコマンド実行をするなどの機能も搭載されています。
これらの制御はTelegramを介して行われます。 - 情報の抽出と持ち出し
Chrome、MS Edge、Firefoxから機密情報を抽出します。
抽出した情報はzip形式にまとめられます。
そしてTelegramを使って外部に送信します。
動きの内容から見るといかにもという機能が搭載されています。
さて、このマルウェアにはどんな回避機構が搭載されているのでしょうか。
- 防御回避:ファイルまたは情報の難読化解除/デコード
MITRE ATT&CK:T1140 - 防御回避: 二重のファイル拡張子を偽装する
MITRE ATT&CK:T1036.007 - 防御回避: Trusted Developer Utilities Proxy Execution MSBuild
MITRE ATT&CK:T1127.001 - 防御回避: HTML スマグリング
MITRE ATT&CK:T1027.006 - 防御回避: DLL サイドローディング
MITRE ATT&CK:T1574.002
多すぎます。
新しく出てくるマルウェアはこのように複数の回避機能を搭載したものが多くなってきています。
直接の対策にはならないかもしれませんが、基本的なこととして出所の確かでないファイルは入手しないことやブラウザにパスワードを保存することを抑制するなどを考える必要がありそうです。
参考記事(外部リンク):Dark Pink APT Group Strikes Government Entities in South
Asian Countries
blog.eclecticiq.com/dark-pink-apt-group-strikes-government-entities-in-south-asian-countries
