O Grupo de Hackers Dark Pink Alvo de Organizações Militares e Governamentais

Pesquisadores de segurança do Group IB analisaram ataques recentes e descobriram que o grupo de hackers Dark Pink APT continua ativo em 2023 e tem como alvo organizações militares, governamentais e educacionais em Brunei, Vietnã e Indonésia.

Bem, nos ataques recentes, o grupo de ameaças exibiu uma cadeia de ataque reformulada, executou diferentes métodos persistentes e implantou novas ferramentas de exfiltração, provavelmente para evitar a detecção, separando sua atividade de Indicadores de Compromisso disponíveis publicamente.

Os pesquisadores mencionam isso após analisar a campanha anterior do grupo de hackers. Os pesquisadores encontraram violações adicionais contra uma instituição educacional na Bélgica e um espaço militar na Tailândia.

O Dark Pink APT é um grupo de hackers que realiza campanhas principalmente em agências militares e governamentais nas regiões da Ásia-Pacífico, e está ativo desde meados de 2021. Foi desmascarado pela primeira vez em janeiro de 2023 por um relatório do Group IB.

Bem, mesmo com os atores de ameaça sendo expostos anteriormente pelo Group IB, o grupo de hackers não diminuiu nem um pouco, e, segundo a empresa, foram identificados pelo menos cinco ataques realizados pelo grupo Dark Pink APT após a redação do relatório anterior.

Leia: Exploração de Plugin do WordPress: Ataques Massivos Alvo do Boné de Consentimento de Cookies Bonito

Os ataques do Dark Pink continuam dependendo dos arquivos ISO enviados via spear phishing para a infecção inicial, que utiliza o carregamento lateral de DLL para iniciar seu backdoor de assinatura, ou seja, Tele PowerBot & KamiKakaBot.

O novo componente é que os atacantes dividiram o processo KamiKakaBot em duas partes, ou seja, roubo de dados e controle de dispositivos. Além disso, é carregado na memória, nunca terminando a área de trabalho. Isso ajuda a evitar a detecção, pois o software antivírus não observa os métodos que começam na memória.

O backdoor KamiKakaBot ainda visa os dados armazenados nos navegadores da web e os envia para os atores de ameaça via telegram. Além disso, o backdoor também pode baixar e executar scripts arbitrários no dispositivo comprometido.

A empresa de segurança descobriu que o Dark Pink usa um repositório privado do GitHub para hospedar módulos extras baixados pelo malware malicioso nos dispositivos infectados.

Os hackers realizaram apenas 12 commits no repositório ao longo de 2023, principalmente para adicionar ou atualizar os scripts de malware PowerShell, ZMsg info stealer, malware droppers e a ferramenta de escalonamento de privilégios Nethua.

Um dos scripts PowerShell é Censorious para a estratégia de movimentação de material do malware, ajudando a identificar e interagir com compartilhamentos SMB dentro da rede. O script obtém o arquivo ZIP do GitHub, salva-o no diretório local e, em seguida, cria um arquivo LNK em cada compartilhamento SMB vinculado aos executáveis no arquivo.

Quando a vítima abre o arquivo LNK, o arquivo LNK inicia os executáveis maliciosos, propagando a multiplicação do grupo de hackers por toda a rede e expandindo seu alcance para mais sistemas.

O Dark Pink usa comandos PowerShell para realizar verificações da presença de software autêntico e ferramentas de implantação no sistema infectado que podem ser exploradas para suas operações.

As ferramentas incluem “AceCheckConsole.exe, remote exe, Extexport.exe, MSPUB.exe e MSOHTMED.exe”, que podem ser utilizadas para execução de proxy, download de cargas adicionais e mais. No entanto, a empresa não viu exemplos dessas ferramentas sendo exploradas em ataques.

A empresa Group IB relatou que o grupo de hackers exibiu variações em seu processo de exfiltração de dados e está indo além do arquivo ZIP para canais do Telegram.

Além disso, em alguns cenários, os hackers usaram uploads do DropBox, e em outros cenários, o grupo usou exfiltração HTTP utilizando um exploit temporário criado dentro do serviço Webbook.site ou servidores Windows.

Além disso, os scripts também têm a capacidade de exfiltrar dados criando novos objetos WebClients para enviar arquivos a um endereço externo usando o processo PUT após determinar a localização dos arquivos-alvo no sistema infectado.

Leia: CISA Alerta sobre Falha de Segurança em Dispositivos Samsung, Permitindo Bypass do ASLR do Android