Nowa ciemnoróżowa grupa APT atakuje rząd i wojsko w regionie Azji i Pacyfiku

Nowa grupa APT o nazwie Dark Pink atakuje organy wojskowe i rządowe w wielu krajach Azji i Pacyfiku w celu uzyskania cennej dokumentacji.

Ciemnoróżowa grupa APT bierze na cel wojsko i rząd

Stwierdzono, że między czerwcem a grudniem 2022 r. ugrupowanie o nazwie Dark Pink przeprowadziło szereg ataków APT. i Filipiny. Celem był również jeden kraj europejski, Bośnia i Hercegowina.

Ataki Dark Pink zostały po raz pierwszy odkryte przez Alberta Priego, analityka złośliwego oprogramowania z grupy IB. We wpisie na blogu Group-IB dotyczącym incydentów stwierdzono, że złośliwi operatorzy Dark Pink „wykorzystują nowy zestaw taktyk, technik i procedur rzadko wykorzystywanych przez wcześniej znane grupy APT”. napisał o niestandardowym zestawie narzędzi zawierającym cztery różne narzędzia do kradzieży informacji: TelePowerBot, KamiKakaBot, Cucky i Ctealer.

Ci złodzieje informacji są wykorzystywani przez Dark Pink do wydobywania cennych dokumentów przechowywanych w sieciach rządowych i wojskowych.

Mówiono, że początkowym wektorem ataków Dark Pink były kampanie typu spear phishing, w których operatorzy podszywali się pod osoby ubiegające się o pracę. Group-IB zauważyła również, że Dark Pink ma zdolność infekowania urządzeń USB podłączonych do zaatakowanych komputerów. Ponadto Dark Pink może uzyskać dostęp do komunikatorów zainstalowanych na zainfekowanych komputerach.

Group-IB udostępniła infografikę dotyczącą ataków Dark Pink na swojej stronie na Twitterze, jak pokazano poniżej.

Podczas gdy większość ataków miała miejsce w Wietnamie (jeden zakończył się niepowodzeniem), w sumie pięć dodatkowych ataków miało również miejsce w innych krajach.

Operatorzy Dark Pink są obecnie nieznani

At the time of writing, the operators behind Dark Pink remain unknown. However, Group-IB did state in the aforementioned post that “a mixture of nation-state threat actors from China, North Korea, Iran, and Pakistan”have been tied to APT attacks in Asia-Pacific countries. But it was noted that it seems Dark Pink came about as early as mid-2021, with a surge in activity arising in mid-2022.

Group-IB also noted that the aim of such attacks is often to commit espionage, rather than to benefit financially.

The Dark Pink APT Group Remains Active

In its blog post, Group-IB informed readers that, at the time of writing (January 11, 2023), the Dark Pink APT group remains active. As the attacks did not end until late 2022, Group-IB is still investigating the issue and determining its scope.

Firma ma nadzieję odkryć operatorów tych ataków i stwierdziła w swoim poście na blogu, że wstępne badania przeprowadzone w sprawie incydentu powinny „przejść długą drogę do podniesienia świadomości na temat nowych TTP wykorzystywanych przez tego cyberprzestępcę i pomóc organizacjom w podjęciu odpowiednich kroki w celu ochrony przed potencjalnie niszczycielskim atakiem APT”.

Grupy APT stanowią ogromne zagrożenie dla bezpieczeństwa

Zaawansowane grupy uporczywych zagrożeń (APT) stanowią ogromne zagrożenie dla organizacji na całym świecie. Ponieważ metody cyberprzestępczości stają się coraz bardziej wyrafinowane, nie wiadomo, jaki rodzaj ataku grupy APT przeprowadzą w następnej kolejności i jakie konsekwencje będzie to miało dla celu.