Il Gruppo di Hacker Dark Pink che Prende di Mira Organizzazioni Militari e Governative

I ricercatori della sicurezza di Group IB hanno analizzato attacchi recenti e hanno scoperto che il gruppo di hacker Dark Pink APT continua a rimanere attivo nel 2023 e ha preso di mira organizzazioni militari, governative e educative in Brunei, Vietnam e Indonesia.

Bene, negli attacchi recenti, il gruppo di minaccia ha mostrato una catena di attacco rinnovata, eseguito diversi metodi persistenti e distribuito nuovi strumenti di esfiltrazione, molto probabilmente per evitare il rilevamento separando la loro attività dagli Indicatori di compromesso disponibili pubblicamente.

I ricercatori menzionano questo dopo aver analizzato la campagna precedente del gruppo di hacker. I ricercatori hanno trovato ulteriori violazioni contro un’istituzione educativa in Belgio e uno spazio militare in Thailandia.

Il Dark Pink APT è un gruppo di hacker che principalmente conduce campagne contro agenzie militari e governative nelle regioni dell’Asia Pacifico ed è attivo da metà 2021. È stato svelato per la prima volta a gennaio 2023 da un rapporto di Group IB.

Bene, anche se gli attori della minaccia sono stati esposti in precedenza da Group IB, il gruppo di hacker non ha rallentato affatto e, secondo l’azienda, ha individuato almeno cinque attacchi effettuati dal gruppo Dark Pink APT dopo aver redatto il rapporto precedente.

Leggi: Sfruttamento del Plugin WordPress: Attacchi Massivi Prendono di Mira il Bellissimo Banner di Consenso ai Cookie

Gli attacchi di Dark Pink continuano a dipendere dagli archivi ISO inviati tramite phishing mirato per l’infezione iniziale, che utilizza il caricamento laterale di DLL per avviare il suo backdoor di firma, ovvero Tele PowerBot e KamiKakaBot.

La nuova componente è che gli attaccanti hanno diviso il processo KamiKakaBot in due parti, ovvero furto di dati e controllo del dispositivo. Inoltre, viene caricato in memoria, senza mai lasciare la scrivania. Questo aiuta a evitare il rilevamento poiché il software antivirus non monitora i metodi che si avviano in memoria.

Il backdoor KamiKakaBot continua a prendere di mira i dati memorizzati nei browser web e li invia agli attori della minaccia tramite telegram. Oltre a questo, il backdoor può anche scaricare ed eseguire script arbitrari sul dispositivo compromesso.

L’azienda di sicurezza ha scoperto che Dark Pink utilizza un repository GitHub privato per ospitare moduli extra scaricati dal malware maligno sui dispositivi infetti.

Gli hacker hanno effettuato solo 12 commit sul repository durante il 2023, principalmente per aggiungere o aggiornare gli script PowerShell del malware, ZMsg info stealer, malware droppers e lo strumento di escalation dei privilegi Nethua.

Uno degli script PowerShell è Censorious per la strategia di movimento dei materiali del malware, che aiuta a identificare e interagire con le condivisioni SMB all’interno della rete. Lo script ottiene l’archivio ZIP da GitHub, lo salva nella directory locale e poi crea un file LNK su ciascuna condivisione SMB collegata agli eseguibili nell’archivio.

Quando la vittima apre il file LNK, il file LNK avvia gli eseguibili dannosi, diffondendo la moltiplicazione del gruppo di hacker in tutta la rete ed espandendo la sua portata a più sistemi.

Dark Pink utilizza comandi PowerShell per eseguire controlli sulla presenza di software autentico e strumenti di distribuzione sul sistema infetto che possono sfruttare per le loro operazioni.

Gli strumenti includono “AceCheckConsole.exe, remote exe, Extexport.exe, MSPUB.exe e MSOHTMED.exe,” che possono essere utilizzati per l’esecuzione tramite proxy, scaricando i payload extra e altro. Tuttavia, l’azienda non ha visto esempi di questi strumenti sfruttati negli attacchi.

L’azienda Group IB ha riferito che il gruppo di hacker ha mostrato variazioni nel suo processo di esfiltrazione dei dati e sta andando oltre l’archivio ZIP verso i canali Telegram.

Inoltre, in alcuni scenari, gli hacker hanno utilizzato caricamenti su DropBox, e in altri scenari, il gruppo ha utilizzato l’esfiltrazione HTTP utilizzando un exploit temporaneo creato all’interno del servizio Webbook.site o server Windows.

Inoltre, gli script hanno anche la capacità di esfiltrare dati creando nuovi oggetti WebClients per caricare file a un indirizzo esterno utilizzando il processo PUT dopo aver determinato la posizione dei file target sul sistema infetto.

Leggi: CISA Avverte di una Vulnerabilità di Sicurezza nei Dispositivi Samsung, che Consente il Bypass di Android ASLR