Die Dark Pink Hackergruppe, die Militär- und Regierungsorganisationen ins Visier nimmt

Sicherheitsforscher von Group IB haben kürzlich durchgeführte Angriffe analysiert und festgestellt, dass die Dark Pink APT-Hackergruppe auch 2023 weiterhin aktiv ist und Militär-, Regierungs- und Bildungseinrichtungen in Brunei, Vietnam und Indonesien ins Visier nimmt.

Nun, bei den jüngsten Angriffen zeigte die Bedrohungsgruppe eine überarbeitete Angriffsstruktur, führte verschiedene persistente Methoden aus und setzte neue Exfiltrationstools ein, höchstwahrscheinlich um eine Entdeckung zu vermeiden, indem sie ihre Aktivitäten von öffentlich verfügbaren Indikatoren für Kompromittierungen trennten.

Die Forscher erwähnen dies, nachdem sie die vorherige Kampagne der Hackergruppe analysiert haben. Die Forscher fanden zusätzliche Sicherheitsverletzungen gegen eine Bildungseinrichtung in Belgien und einen Militärstandort in Thailand.

Die Dark Pink APT ist eine Hackergruppe, die hauptsächlich Kampagnen gegen Militär- und Regierungsbehörden in den asiatisch-pazifischen Regionen durchführt und seit Mitte 2021 aktiv ist. Sie wurde erstmals im Januar 2023 durch einen Bericht von Group IB enttarnt.

Nun, selbst nachdem die Bedrohungsakteure zuvor von Group IB entlarvt wurden, hat die Hackergruppe nicht nachgelassen, und laut der Firma wurden seit dem Schreiben des vorherigen Berichts mindestens fünf Angriffe der Dark Pink APT-Gruppe festgestellt.

Lesen: WordPress-Plugin-Exploit: Massive Angriffe zielen auf den schönen Cookie-Zustimmungsbanner ab

Die Dark Pink-Angriffe hängen weiterhin von den über Spear-Phishing versendeten ISO-Archiven für die anfängliche Infektion ab, die DLL-Seitenladung nutzen, um ihre signaturbasierte Hintertür zu starten, d.h. Tele PowerBot & KamiKakaBot.

Das neue Element ist, dass die Angreifer den KamiKakaBot-Prozess in zwei Teile aufgeteilt haben, nämlich Datendiebstahl und Gerätesteuerung. Außerdem wird er im Speicher geladen, sodass er nicht auf dem Desktop sichtbar ist. Dies hilft, eine Entdeckung zu vermeiden, da die Antivirensoftware die Methoden, die im Speicher gestartet werden, nicht überwacht.

Die Hintertür KamiKakaBot zielt weiterhin auf die in den Webbrowsern gespeicherten Daten ab und sendet diese an die Bedrohungsakteure über Telegram. Darüber hinaus kann die Hintertür auch beliebige Skripte auf dem kompromittierten Gerät herunterladen und ausführen.

Die Sicherheitsfirma stellte fest, dass Dark Pink ein privates GitHub-Repository nutzt, um zusätzliche Module zu hosten, die von der bösartigen Malware auf den infizierten Geräten heruntergeladen werden.

Die Hacker führten im Jahr 2023 nur 12 Commits im Repository durch, hauptsächlich um die PowerShell-Skripte, ZMsg-Infodieb, Malware-Dropper und das Nethua-Privilegierungserhöhungstool hinzuzufügen oder zu aktualisieren.

Eines der PowerShell-Skripte ist Censorious für die Materialbewegungsstrategie der Malware, die dabei hilft, SMB-Freigaben im Netzwerk zu identifizieren und zu interagieren. Das Skript lädt das ZIP-Archiv von GitHub herunter, speichert es im lokalen Verzeichnis und erstellt dann eine LNK-Datei auf jeder SMB-Freigabe, die mit den ausführbaren Dateien im Archiv verknüpft ist.

Wenn das Opfer die LNK-Datei öffnet, startet die LNK-Datei die bösartigen ausführbaren Dateien und verbreitet die Hackergruppe im gesamten Netzwerk und erweitert ihre Reichweite auf weitere Systeme.

Dark Pink verwendet PowerShell-Befehle, um Überprüfungen auf das Vorhandensein authentischer Software und Bereitstellungstools auf dem infizierten System durchzuführen, die sie für ihre Operationen ausnutzen können.

Die Tools umfassen “AceCheckConsole.exe, remote exe, Extexport.exe, MSPUB.exe und MSOHTMED.exe”, die für die Proxy-Ausführung, das Herunterladen zusätzlicher Payloads und mehr verwendet werden können. Die Firma hat jedoch keine Beispiele dafür gesehen, dass diese Tools in Angriffen ausgenutzt wurden.

Die Firma Group IB berichtete, dass die Hackergruppe Variationen in ihrem Datenexfiltrationsprozess zeigte und über das ZIP-Archiv hinaus zu Telegram-Kanälen geht.

Darüber hinaus verwendeten die Hacker in einigen Szenarien DropBox-Uploads, und in anderen Szenarien nutzte die Gruppe HTTP-Exfiltration unter Verwendung eines temporären Exploits, der innerhalb des Webbook.site-Dienstes oder auf Windows-Servern erstellt wurde.

Außerdem haben die Skripte auch die Fähigkeit, Daten zu exfiltrieren, indem sie neue WebClient-Objekte erstellen, um Dateien an eine externe Adresse hochzuladen, indem sie den PUT-Prozess verwenden, nachdem sie den Speicherort der Ziel-Dateien auf dem infizierten System bestimmt haben.

Lesen: CISA warnt vor Sicherheitsanfälligkeit bei Samsung-Geräten, die Android ASLR-Umgehung ermöglicht