Μια νέα ομάδα APT με το όνομα Dark Pink στοχεύει στρατιωτικούς και κυβερνητικούς φορείς σε πολλά έθνη της Ασίας-Ειρηνικού για να εξάγει πολύτιμη τεκμηρίωση.
Dark Pink APT Group Takes Aim and Military and Government
Μια σφαγή από επιθέσεις προηγμένης επίμονης απειλής (APT). βρέθηκε ότι ξεκίνησε από μια ομάδα γνωστή ως Dark Pink μεταξύ Ιουνίου και Δεκεμβρίου 2022. Οι επιθέσεις εξαπολύθηκαν εναντίον πολλών χωρών στην Ασία-Ειρηνικό, όπως η Καμπότζη, το Βιετνάμ, η Μαλαισία, η Ινδονησία και οι Φιλιππίνες. Μια ευρωπαϊκή χώρα, η Βοσνία-Ερζεγοβίνη, ήταν επίσης στόχος.
Οι επιθέσεις Dark Pink ανακαλύφθηκαν για πρώτη φορά από τον Albert Priego, αναλυτή κακόβουλου λογισμικού του Group-IB. Σε ένα Ανάρτηση ιστολογίου Group-IB σχετικά με τα περιστατικά, αναφέρθηκε ότι οι κακόβουλοι χειριστές του Dark Pink "αξιοποιούν ένα νέο σύνολο τακτικών, τεχνικών και διαδικασιών που σπάνια χρησιμοποιήθηκαν από προηγουμένως γνωστά Ομάδες APT." Προχωρώντας σε περισσότερες λεπτομέρειες, το Group-IB έγραψε για μια προσαρμοσμένη εργαλειοθήκη που περιλαμβάνει τέσσερις διαφορετικούς infostealers: TelePowerBot, KamiKakaBot, Cucky και Ctealer.
Αυτοί οι infotealers χρησιμοποιούνται από το Dark Pink για την εξαγωγή πολύτιμων εγγράφων που είναι αποθηκευμένα σε κυβερνητικά και στρατιωτικά δίκτυα.
Ο αρχικός φορέας των επιθέσεων του Dark Pink λέγεται ότι ήταν εκστρατείες phishing, όπου οι χειριστές θα υποδύονταν τους αιτούντες εργασία. Το Group-IB σημείωσε επίσης ότι το Dark Pink έχει τη δυνατότητα να μολύνει τις συσκευές USB που είναι συνδεδεμένες σε παραβιασμένους υπολογιστές. Επιπλέον, το Dark Pink μπορεί να έχει πρόσβαση στους αγγελιοφόρους που είναι εγκατεστημένοι στους μολυσμένους υπολογιστές.
Το Group-IB μοιράστηκε ένα infographic για τις επιθέσεις του Dark Pink στη σελίδα του στο Twitter, όπως φαίνεται παρακάτω.
Ενώ οι περισσότερες από τις επιθέσεις πραγματοποιήθηκαν στο Βιετνάμ (με μία να είναι ανεπιτυχής), συνολικά πέντε επιπλέον επιθέσεις πραγματοποιήθηκαν επίσης σε άλλα έθνη.
Οι χειριστές του Dark Pink είναι επί του παρόντος άγνωστοι
Μέχρι τη στιγμή που γράφονται αυτές οι γραμμές, οι χειριστές πίσω από το Dark Pink παραμένουν άγνωστοι. Ωστόσο, το Group-IB ανέφερε στην προαναφερθείσα ανάρτηση ότι «ένα μείγμα παραγόντων απειλής έθνους-κράτους από την Κίνα, τη Βόρεια Κορέα, το Ιράν και το Πακιστάν» έχουν συνδεθεί με επιθέσεις APT σε χώρες Ασίας-Ειρηνικού. Ωστόσο, σημειώθηκε ότι φαίνεται ότι το Dark Pink εμφανίστηκε ήδη από τα μέσα του 2021, με μια αύξηση της δραστηριότητας που προέκυψε στα μέσα του 2022.
Το Group-IB σημείωσε επίσης ότι ο στόχος τέτοιων επιθέσεων είναι συχνά η διάπραξη κατασκοπείας, παρά το οικονομικό όφελος.
Η ομάδα Dark Pink APT παραμένει ενεργή
Στην ανάρτησή του στο ιστολόγιο, το Group-IB ενημέρωσε τους αναγνώστες ότι, κατά τη στιγμή της σύνταξης (11 Ιανουαρίου 2023), η ομάδα Dark Pink APT παραμένει ενεργή. Καθώς οι επιθέσεις δεν τελείωσαν μέχρι τα τέλη του 2022, το Group-IB εξακολουθεί να ερευνά το ζήτημα και να προσδιορίζει το εύρος του.
Η εταιρεία ελπίζει να αποκαλύψει τους χειριστές αυτών των επιθέσεων και ανέφερε στην ανάρτησή της στο blog ότι η προκαταρκτική έρευνα που διεξήχθη για το περιστατικό θα πρέπει να «αποτελεί ευαισθητοποίηση σχετικά με τα νέα TTP που χρησιμοποιούνται από αυτόν τον παράγοντα απειλών και βοηθούν τους οργανισμούς να λάβουν τα σχετικά μέτρα για να προστατευθούν από ένα δυνητικά καταστροφικό APT επίθεση".
Οι ομάδες APT αποτελούν τεράστια απειλή για την ασφάλεια
Οι ομάδες προηγμένης επίμονης απειλής (APT) αποτελούν τεράστιο κίνδυνο για οργανισμούς σε όλο τον κόσμο. Καθώς οι μέθοδοι εγκλήματος στον κυβερνοχώρο συνεχίζουν να αυξάνονται στην πολυπλοκότητά τους, δεν γνωρίζουμε τι είδους επίθεση θα εξαπολύσουν οι ομάδες APT στη συνέχεια και ποιες συνέπειες θα έχει στον στόχο.
