Un nou grup APT numit Dark Pink a vizat organismele militare și guvernamentale din numeroasele țări din Asia-Pacific pentru a extrage documente valoroase.
Dark Pink APT Group ținește și Militar și Guvern
O grămadă de atacuri avansate de amenințare persistentă (APT). s-a descoperit că a fost lansat de un grup cunoscut sub numele de Dark Pink între iunie și decembrie 2022. Atacurile au fost lansate împotriva mai multor țări din Asia-Pacific, inclusiv Cambodgia, Vietnam, Malaezia, Indonezia și Filipine. O țară europeană, Bosnia și Herțegovina, a fost, de asemenea, vizată.
Atacurile Dark Pink au fost descoperite pentru prima dată de Albert Priego, un analist malware Group-IB. Într-o Postare pe blogul Grupului IB cu privire la incidente, s-a afirmat că operatorii rău intenționați Dark Pink „exploatează un nou set de tactici, tehnici și proceduri rar utilizate de cunoscutele anterior. Grupuri APT." Mergând în mai multe detalii, Group-IB a scris despre un set de instrumente personalizat care include patru furori de informații diferiți: TelePowerBot, KamiKakaBot, Cucky și Ctealer.
Acești furturi de informații sunt folosiți de Dark Pink pentru a extrage documente valoroase stocate în rețelele guvernamentale și militare.
Se spunea că vectorul inițial al atacurilor lui Dark Pink este campanii de spear phishing, în care operatorii ar uzurpa identitatea solicitanților de locuri de muncă. Group-IB a remarcat, de asemenea, că Dark Pink are capacitatea de a infecta dispozitivele USB conectate la computere compromise. În plus, Dark Pink poate accesa mesagerii instalați pe computerele infectate.
Group-IB a distribuit o infografică despre atacurile Dark Pink pe pagina sa de Twitter, după cum se arată mai jos.
În timp ce majoritatea atacurilor au avut loc în Vietnam (unul fiind fără succes), un total de cinci atacuri suplimentare au avut loc și în alte națiuni.
Operatorii Dark Pink sunt momentan necunoscuți
La momentul redactării acestui articol, operatorii din spatele Dark Pink rămân necunoscuți. Cu toate acestea, Group-IB a afirmat în postarea menționată mai sus că „un amestec de actori ai amenințărilor de stat național din China, Coreea de Nord, Iran și Pakistan” au fost legate de atacurile APT din țările din Asia-Pacific. Dar s-a remarcat că se pare că Dark Pink a apărut încă de la jumătatea anului 2021, cu o creștere a activității care a apărut la jumătatea lui 2022.
Group-IB a remarcat, de asemenea, că scopul unor astfel de atacuri este adesea să comită spionaj, mai degrabă decât să beneficieze financiar.
Grupul Dark Pink APT rămâne activ
În postarea pe blog, Group-IB a informat cititorii că, la momentul redactării acestui articol (11 ianuarie 2023), grupul Dark Pink APT rămâne activ. Întrucât atacurile nu s-au încheiat până la sfârșitul anului 2022, Group-IB încă investighează problema și determină domeniul de aplicare al acesteia.
Compania speră să descopere operatorii acestor atacuri și a declarat în postarea pe blog că cercetările preliminare efectuate asupra incidentului ar trebui „să meargă un drum lung pentru creșterea gradului de conștientizare cu privire la noile TTP utilizate de acest actor de amenințare și ajutarea organizațiilor să ia măsurile relevanți pentru a se proteja de un APT potențial devastator atac".
Grupurile APT reprezintă o amenințare uriașă pentru securitate
Grupurile de amenințări persistente avansate (APT) reprezintă un risc uriaș pentru organizațiile din întreaga lume. Pe măsură ce metodele de criminalitate cibernetică continuă să crească în gradul lor de sofisticare, nu se știe ce fel de atac vor lansa grupurile APT în continuare și ce consecințe vor avea asupra țintei.
