Нова APT група, наречена Dark Pink, се насочва към военни и правителствени органи в множество азиатско-тихоокеански нации, за да извлече ценна документация.
Тъмно розовата група APT се прицелва и в армията, и в правителството
Няколко напреднали постоянни заплахи (APT) атаки беше установено, че е пуснат от група, известна като Dark Pink, между юни и декември 2022 г. Атаките бяха извършени срещу няколко държави в Азиатско-тихоокеанския регион, включително Камбоджа, Виетнам, Малайзия, Индонезия и Филипините. Една европейска страна, Босна и Херцеговина, също беше насочена.
Атаките на Dark Pink бяха открити за първи път от Алберт Приего, анализатор на зловреден софтуер от Group-IB. В Публикация в блога на Group-IB относно инцидентите, беше заявено, че злонамерените оператори на Dark Pink „използват нов набор от тактики, техники и процедури, рядко използвани от известни преди APT групи." Навлизайки в допълнителни подробности, Group-IB пише за персонализиран инструментариум, включващ четири различни крадци на информация: TelePowerBot, KamiKakaBot, Cucky и Ctealer.
Тези крадци на информация се използват от Dark Pink за извличане на ценни документи, съхранявани в правителствени и военни мрежи.
Твърди се, че първоначалният вектор на атаките на Dark Pink е бил провеждайте фишинг кампании, при което операторите ще се представят за кандидати за работа. Group-IB също отбеляза, че Dark Pink има способността да заразява USB устройствата, свързани към компрометирани компютри. Освен това Dark Pink има достъп до месинджърите, инсталирани на заразените компютри.
Group-IB сподели инфографика за атаките на Dark Pink на своята страница в Twitter, както е показано по-долу.
Докато повечето от атаките са извършени във Виетнам (като една е неуспешна), общо пет допълнителни атаки също са извършени в други нации.
Операторите на Dark Pink в момента са неизвестни
Към момента на писане операторите зад Dark Pink остават неизвестни. Въпреки това Group-IB заяви в гореспоменатата публикация, че „смесица от участници в заплаха от национална държава от Китай, Северна Корея, Иран и Пакистан“ са свързани с APT атаки в азиатско-тихоокеанските страни. Но беше отбелязано, че изглежда Тъмнорозовото се е появило още в средата на 2021 г., като нарастването на активността възниква в средата на 2022 г.
Group-IB също отбеляза, че целта на подобни атаки често е да се извърши шпионаж, а не да се облагодетелстват финансово.
Тъмно розовата APT група остава активна
В своя блог публикация Group-IB информира читателите, че към момента на писане (11 януари 2023 г.) групата Dark Pink APT остава активна. Тъй като атаките не приключиха до края на 2022 г., Group-IB все още проучва проблема и определя обхвата му.
Компанията се надява да разкрие операторите на тези атаки и заяви в публикацията си в блога, че предварителното проучване, проведено на инцидента, трябва да „извърви дълъг път към повишаване на осведомеността за новите TTP, използвани от тази заплаха, и подпомагане на организациите да предприемат съответните стъпки, за да се защитят от потенциално опустошителен APT нападение".
APT групите представляват огромна заплаха за сигурността
Групите с напреднали постоянни заплахи (APT) представляват огромен риск за организациите по целия свят. Тъй като методите за киберпрестъпления продължават да се усъвършенстват, не се знае какъв вид атака ще предприемат APT групите след това и какви последствия ще има върху целта.