Группа хакеров Dark Pink, нацелившаяся на военные и государственные организации

Исследователи безопасности из Group IB проанализировали недавние атаки и обнаружили, что группа хакеров Dark Pink APT продолжает оставаться активной в 2023 году и нацеливается на военные, государственные и образовательные организации в Брунее, Вьетнаме и Индонезии.

Что ж, в недавних атаках угроза продемонстрировала обновленную цепочку атак, выполнила различные устойчивые методы и развернула новые инструменты эксфильтрации, скорее всего, чтобы избежать обнаружения, отделив свою деятельность от общедоступных индикаторов компрометации.

Исследователи упоминают это после анализа предыдущей кампании группы хакеров. Исследователи обнаружили дополнительные нарушения против образовательного учреждения в Бельгии и военного объекта в Таиланде.

Группа Dark Pink APT — это группа хакеров, которая в основном проводит кампании против военных и государственных учреждений в регионах Азиатско-Тихоокеанского региона, и она активна с середины 2021 года. Впервые она была раскрыта в январе 2023 года в отчете от Group IB.

Что ж, даже несмотря на то, что угрозы были раскрыты ранее Group IB, группа хакеров не замедлилась ни на йоту, и, по данным компании, она зафиксировала как минимум пять атак, проведенных группой Dark Pink APT после написания предыдущего отчета.

Читать: Уязвимость плагина WordPress: Масштабные атаки на красивый баннер согласия на использование файлов cookie

Атаки Dark Pink продолжают зависеть от ISO-архивов, отправленных через целевой фишинг для первоначального заражения, который использует загрузку DLL для запуска своего бэкдора, т.е. Tele PowerBot и KamiKakaBot.

Новая составляющая заключается в том, что злоумышленники разделили процесс KamiKakaBot на две части: кража данных и управление устройством. Кроме того, он загружается в память, никогда не оставляя следов на рабочем столе. Это помогает избежать обнаружения, так как антивирусное программное обеспечение не отслеживает методы, которые запускаются в памяти.

Бэкдор KamiKakaBot по-прежнему нацеливается на данные, хранящиеся в веб-браузерах, и отправляет их злоумышленникам через Telegram. В дополнение к этому, бэкдор также может загружать и выполнять произвольные скрипты на скомпрометированном устройстве.

Безопасная компания обнаружила, что Dark Pink использует частный репозиторий GitHub для размещения дополнительных модулей, загружаемых вредоносным ПО на зараженные устройства.

Злоумышленники выполнили всего 12 коммитов в репозитории в течение 2023 года, в основном для добавления или обновления скриптов PowerShell для вредоносного ПО, кражи информации ZMsg, загрузчиков вредоносного ПО и инструмента повышения привилегий Nethua.

Один из скриптов PowerShell называется Censorious и предназначен для стратегии перемещения материалов вредоносного ПО, помогая идентифицировать и взаимодействовать с SMB-ресурсами в сети. Скрипт получает ZIP-архив из GitHub, сохраняет его в локальном каталоге, а затем создает файл LNK на каждом SMB-ресурсе, связанном с исполняемыми файлами в архиве.

Когда жертва открывает файл LNK, файл LNK запускает вредоносные исполняемые файлы, распространяя размножение группы хакеров по всей сети и расширяя свое влияние на большее количество систем.

Dark Pink использует команды PowerShell для проверки наличия подлинного программного обеспечения и инструментов развертывания на зараженной системе, которые они могут использовать для своих операций.

Инструменты включают “AceCheckConsole.exe, remote exe, Extexport.exe, MSPUB.exe и MSOHTMED.exe”, которые могут быть использованы для выполнения прокси, загрузки дополнительных полезных нагрузок и многого другого. Однако компания не видела примеров использования этих инструментов в атаках.

Компания Group IB сообщила, что группа хакеров продемонстрировала изменения в своем процессе эксфильтрации данных и выходит за пределы ZIP-архива в каналы Telegram.

Более того, в некоторых сценариях злоумышленники использовали загрузки DropBox, а в других сценариях группа использовала HTTP-эксфиляцию, используя временную уязвимость, созданную в сервисе Webbook.site или на серверах Windows.

Кроме того, скрипты также имеют возможность эксфильтровать данные, создавая новые объекты WebClients для загрузки файлов на внешний адрес с использованием процесса PUT после определения местоположения целевых файлов на зараженной системе.

Читать: CISA предупреждает о проблеме безопасности устройств Samsung, позволяющей обойти ASLR Android