サイバーセキュリティ · 1 min read · Nov 29, 2025

軍事および政府機関を標的とするダークピンクハッカーグループ

ハッカー

セキュリティ研究者のGroup IBは最近の攻撃を分析し、ダークピンクAPTハッキンググループが2023年も活動を続けており、ブルネイ、ベトナム、インドネシアの軍事、政府、教育機関を標的にしていることを発見しました。

最近の攻撃では、脅威グループは改良された攻撃チェーンを示し、異なる持続的手法を実行し、新しい情報漏洩ツールを展開しました。これは、公開されている侵害の指標から活動を分離することで検出を回避するためのものと考えられます。

研究者たちは、ハッカーグループの以前のキャンペーンを分析した後にこれを言及しています。研究者たちは、ベルギーの教育機関とタイの軍事施設に対する追加の侵害を発見しました。

ダークピンクAPTは、主にアジア太平洋地域の軍事および政府機関に対してキャンペーンを展開するハッカーグループであり、2021年中頃から活動しています。2023年1月にGroup IBの報告によって初めてその正体が明らかにされました。

Group IBによって脅威アクターが以前に暴露されたにもかかわらず、ハッカーグループは一切のペースを落としておらず、同社によると、前回の報告書執筆後にダークピンクAPTグループによって実行された少なくとも5件の攻撃が確認されています。

読む: WordPressプラグインの脆弱性: 大規模な攻撃が美しいクッキー同意バナーを標的に

軍事および政府機関を標的とするダークピンクハッカーグループ 1

ダークピンクの攻撃は、最初の感染のためにスピアフィッシングを介して送信されたISOアーカイブに依存し続けており、DLLサイドローディングを利用してそのシグネチャバックドア、すなわちTele PowerBotおよびKamiKakaBotを起動します。

軍事および政府機関を標的とするダークピンクハッカーグループ 2

新しいコンポーネントは、攻撃者がKamiKakaBotプロセスをデータ窃盗とデバイス制御の2つの部分に分割したことです。また、メモリにロードされ、デスクを永遠に維持します。これは、アンチウイルスソフトウェアがメモリ内で開始される手法を監視しないため、検出を回避するのに役立ちます。

バックドアKamiKakaBotは、依然としてウェブブラウザに保存されたデータを標的にし、それを脅威アクターにテレグラム経由で送信します。これに加えて、バックドアは、侵害されたデバイス上で任意のスクリプトをダウンロードして実行することもできます。

セキュリティ会社は、ダークピンクが感染したデバイス上で悪意のあるマルウェアによってダウンロードされる追加モジュールをホストするためにプライベートGitHubリポジトリを使用していることを発見しました。

ハッカーは2023年を通じてリポジトリでわずか12回のコミットを行い、主にマルウェアのPowerShellスクリプト、ZMsg情報窃盗ツール、マルウェアドロッパー、およびNethua特権昇格ツールを追加またはアップグレードするために使用しました。

軍事および政府機関を標的とするダークピンクハッカーグループ 3

PowerShellスクリプトの1つは、マルウェアの素材移動戦略のためのCensoriousであり、ネットワーク内のSMB共有を特定して相互作用するのに役立ちます。このスクリプトは、GitHubからZIPアーカイブを取得し、ローカルディレクトリに保存し、その後、アーカイブ内の実行可能ファイルにリンクされた各SMB共有にLNKファイルを作成します。

被害者がLNKファイルを開くと、そのLNKファイルは悪意のある実行可能ファイルを起動し、ハッカーグループの複製をネットワーク全体に広げ、より多くのシステムへのリーチを拡大します。

ダークピンクは、感染したシステム上で彼らが操作に利用できる正規のソフトウェアおよび展開ツールの存在を確認するためにPowerShellコマンドを使用します。

これらのツールには、「AceCheckConsole.exe、remote exe、Extexport.exe、MSPUB.exe、およびMSOHTMED.exe」が含まれ、プロキシ実行、追加ペイロードのダウンロードなどに利用できます。ただし、同社はこれらのツールが攻撃で悪用されている例を見ていません。

軍事および政府機関を標的とするダークピンクハッカーグループ 4

Group IB社は、ハッカーグループがデータ漏洩プロセスにおいて変化を示し、ZIPアーカイブを超えてテレグラムチャンネルに進出していると報告しました。

さらに、いくつかのシナリオでは、ハッカーはDropBoxアップロードを使用し、他のシナリオでは、グループはWebbook.siteサービスまたはWindowsサーバー内で作成された一時的なエクスプロイトを利用してHTTP情報漏洩を使用しました。

さらに、スクリプトは、感染したシステム上のターゲットファイルの場所を特定した後、PUTプロセスを使用して外部アドレスにファイルをアップロードするために新しいWebClientsオブジェクトを作成することによってデータを情報漏洩させる能力も持っています。

読む: CISAがSamsungデバイスのセキュリティ欠陥を警告、Android ASLRバイパスを許可

Share: X/Twitter LinkedIn
#サイバーセキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。