A Dark Pink nevű új APT-csoport számos ázsiai és csendes-óceáni ország katonai és kormányzati szerveit vette célba, hogy értékes dokumentumokat nyerjen ki.
A Sötétrózsaszín APT Csoport megcélozza a hadsereget és a kormányt
Egy csomó fejlett állandó fenyegetés (APT) támadások kiderült, hogy egy Dark Pink néven ismert csoport indította el 2022 júniusa és decembere között. A támadásokat több ázsiai-csendes-óceáni ország, köztük Kambodzsa, Vietnam, Malajzia, Indonézia és a Fülöp-szigetek ellen indították. Egy európai ország, Bosznia-Hercegovina is célponttá vált.
A Dark Pink támadásokat először Albert Priego, az IB csoport rosszindulatú programelemzője fedezte fel. Az a Az IB csoport blogbejegyzése az incidensekkel kapcsolatbankijelentették, hogy a rosszindulatú Dark Pink operátorok „új taktikákat, technikákat és eljárásokat alkalmaznak, amelyeket a korábban ismertek ritkán alkalmaznak. APT csoportok." A Group-IB további részletekre menve írt egy egyéni eszközkészletről, amely négy különböző infolopót tartalmaz: TelePowerBot, KamiKakaBot, Cucky és Ctealer.
Ezeket az infolopókat használja a Dark Pink arra, hogy értékes dokumentumokat nyerjen ki a kormányzati és katonai hálózatokon belül.
Sötétrózsa támadásainak kezdeti vektora az volt lándzsa adathalász kampányok, ahol az üzemeltetők az álláspályázóknak adja ki magát. A Group-IB azt is megjegyezte, hogy a Dark Pink képes megfertőzni a feltört számítógépekhez csatlakoztatott USB-eszközöket. Ezen felül a Dark Pink hozzáférhet a fertőzött számítógépekre telepített üzenetküldőkhöz.
A Group-IB megosztott egy infografikát a Dark Pink támadásokról a Twitter-oldalán, az alábbiak szerint.
Míg a legtöbb támadásra Vietnamban került sor (egy sikertelen volt), addig összesen öt további támadásra más országokban is sor került.
A Dark Pink operátorai jelenleg ismeretlenek
A cikk írásakor a Dark Pink mögött álló operátorok ismeretlenek. Az IB-csoport azonban a fent említett bejegyzésben kijelentette, hogy "nemzetállami fenyegetés szereplőinek keveréke Kínából, Észak-Koreából, Iránból és Pakisztánból" ázsiai-csendes-óceáni országokban elkövetett APT-támadásokhoz kötik. Megjegyezték azonban, hogy úgy tűnik, a sötét rózsaszín már 2021 közepén megjelent, és 2022 közepén az aktivitás megugrott.
A Group-IB azt is megjegyezte, hogy az ilyen támadások célja gyakran kémkedés, nem pedig anyagi haszonszerzés.
A Dark Pink APT csoport továbbra is aktív marad
Blogbejegyzésében a Group-IB arról tájékoztatta olvasóit, hogy a cikk írásakor (2023. január 11-én) a Dark Pink APT csoport továbbra is aktív. Mivel a támadások csak 2022 végén értek véget, az IB-csoport továbbra is vizsgálja a kérdést, és meghatározza annak hatókörét.
A cég azt reméli, hogy sikerül feltárni a támadások végrehajtóit, és blogbejegyzésében kijelentette, hogy az incidensről végzett előzetes kutatásnak "nagyon sokat kell tennie felhívja a figyelmet az új TTP-kre, amelyeket ez a fenyegető szereplő használ, és segít a szervezeteknek a megfelelő lépések megtételében, hogy megvédjék magukat a potenciálisan pusztító APT-től támadás".
Az APT csoportok óriási biztonsági fenyegetést jelentenek
A fejlett tartós fenyegetés (APT) csoportok óriási kockázatot jelentenek a szervezetek számára szerte a világon. Ahogy a kiberbűnözés módszerei egyre kifinomultabbak, nem tudni, hogy az APT csoportok milyen támadást indítanak legközelebb, és ennek milyen következményei lesznek a célpontra.
