Le groupe de hackers Dark Pink ciblant les organisations militaires et gouvernementales

Les chercheurs en sécurité de Group IB ont analysé les attaques récentes et ont découvert que le groupe de hackers APT Dark Pink continue d’être actif en 2023 et a ciblé des organisations militaires, gouvernementales et éducatives à Brunei, au Vietnam et en Indonésie.

Eh bien, lors des attaques récentes, le groupe de menace a affiché une chaîne d’attaque renouvelée, exécuté différentes méthodes persistantes et déployé de nouveaux outils d’exfiltration, très probablement pour éviter la détection en séparant leur activité des indicateurs de compromission disponibles publiquement.

Les chercheurs mentionnent cela après avoir analysé la campagne précédente du groupe de hackers. Les chercheurs ont trouvé des violations supplémentaires contre une institution éducative en Belgique et un espace militaire en Thaïlande.

Le Dark Pink APT est un groupe de hackers qui mène principalement des campagnes contre des agences militaires et gouvernementales dans les régions Asie-Pacifique, et il est actif depuis la mi-2021. Il a été démasqué pour la première fois en janvier 2023 par un rapport de Group IB.

Eh bien, même si les acteurs de la menace ont été exposés plus tôt par Group IB, le groupe de hackers n’a pas ralenti d’un iota, et selon la société, elle a repéré au moins cinq attaques menées par le groupe APT Dark Pink après avoir rédigé le rapport précédent.

Lire : Exploit de plugin WordPress : des attaques massives ciblent le magnifique bandeau de consentement aux cookies

Les attaques de Dark Pink continuent de dépendre des archives ISO envoyées via le spear phishing pour l’infection initiale, qui utilise le chargement latéral de DLL pour démarrer son backdoor signature, c’est-à-dire Tele PowerBot & KamiKakaBot.

La nouvelle composante est que les attaquants ont divisé le processus KamiKakaBot en deux parties, à savoir le vol de données et le contrôle des appareils. De plus, il est chargé en mémoire, ne finissant jamais le bureau. Cela aide à éviter la détection car le logiciel antivirus ne surveille pas les méthodes qui démarrent en mémoire.

Le backdoor KamiKakaBot cible toujours les données stockées dans les navigateurs web et les envoie aux acteurs de la menace via Telegram. En plus de cela, le backdoor peut également télécharger et exécuter des scripts arbitraires sur l’appareil compromis.

La société de sécurité a découvert que Dark Pink utilise un dépôt GitHub privé pour héberger des modules supplémentaires téléchargés par le logiciel malveillant sur les appareils infectés.

Les hackers n’ont effectué que 12 commits sur le dépôt tout au long de 2023, principalement pour ajouter ou mettre à jour les scripts PowerShell du malware, le voleur d’informations ZMsg, les déployeurs de malware et l’outil d’escalade de privilèges Nethua.

Un des scripts PowerShell est Censorious pour la stratégie de mouvement de contenu du malware, aidant à identifier et interagir avec les partages SMB au sein du réseau. Le script obtient l’archive ZIP depuis GitHub, l’enregistre dans le répertoire local, puis crée un fichier LNK sur chaque partage SMB lié aux exécutables dans l’archive.

Lorsque la victime ouvre le fichier LNK, le fichier LNK lance les exécutables malveillants, propageant la multiplication du groupe de hackers à travers le réseau et étendant sa portée à plus de systèmes.

Dark Pink utilise des commandes PowerShell pour effectuer des vérifications de la présence de logiciels authentiques et d’outils de déploiement sur le système infecté qu’ils peuvent exploiter pour leurs opérations.

Les outils incluent “AceCheckConsole.exe, remote exe, Extexport.exe, MSPUB.exe, et MSOHTMED.exe,” qui peuvent être utilisés pour l’exécution proxy, le téléchargement de charges supplémentaires, et plus encore. Cependant, la société n’a pas vu d’exemples de ces outils étant exploités dans des attaques.

La société Group IB a rapporté que le groupe de hackers a affiché des variations dans son processus d’exfiltration de données et va au-delà de l’archive ZIP vers des canaux Telegram.

De plus, dans certains scénarios, les hackers ont utilisé des téléchargements DropBox, et dans d’autres scénarios, le groupe a utilisé l’exfiltration HTTP en utilisant une exploitation temporaire créée dans le service Webbook.site ou des serveurs Windows.

De plus, les scripts ont également la capacité d’exfiltrer des données en créant de nouveaux objets WebClients pour télécharger des fichiers vers une adresse externe en utilisant le processus PUT après avoir déterminé l’emplacement des fichiers cibles sur le système infecté.

Lire : CISA avertit d’une faille de sécurité des appareils Samsung, permettant de contourner l’ASLR Android