Търсене
Close this search box.

Атаките, насочени към правителствени агенции и военни структури в множество държави от региона на APAC, се приписват на нова хакерска група, която използва персонализиран зловреден софтуер за кражба на поверителна информация.

Изследователите по сигурността наричат тази група Dark Pink (Group-IB) или Saaiwc Group (Anheng Hunting Labs), като отбелязват, че тя използва необичайни тактики, техники и процедури (TTPs).

Наблюдаваният при атаките персонализиран набор от инструменти може да се използва за кражба на информация и разпространение на зловреден софтуер чрез USB устройства. Извършителят е използвал методи за странично зареждане на DLL и изпълнение, предизвикано от събитие, за да стартира полезните си товари в компрометираните системи.

В доклад, публикуван от компанията за киберсигурност Group-IB, се казва, че целта на заплахата е да се открадне информация от браузърите на жертвата, да се получи достъп до месинджъри, да се ексфилтрират документи и да се заснеме звук от микрофона на заразеното устройство.

Считана за усъвършенствана постоянна заплаха (APT), Dark Pink е извършила поне седем успешни атаки между юни и декември 2022г.

Първоначално компрометиране

Типичният първоначален вектор на атаката на Dark Pink са фишинг имейли, маскирани като молби за работа, които подмамват жертвата да изтегли зловреден файл с ISO изображение. След тази стъпка Group-IB наблюдава множество варианти във веригата на атаката.

При един от тях се използваше цялостен ISO файл, съхраняващ документ-примамка, подписан изпълним файл и зловреден DLL файл, което доведе до разгръщане на един от двата използвани от групата потребителски устройства за кражба на информация (Ctealer или Cucky) чрез странично зареждане на DLL. На следващия етап щеше да бъде пуснат имплант на регистъра, наречен TelePowerBot.

Друга верига от атаки използва документ на Microsoft Office (.DOC) във вътрешността на ISO файл. Когато жертвата отвори файла, от GitHub се изтегля шаблон със зловреден макрос, който има за задача да зареди TelePowerBot и да извърши промени в регистъра на Windows.

Третата верига от атаки, наблюдавана през декември 2022г., е идентична с първата. Вместо да зарежда TelePowerBot обаче, зловредният ISO файл и техниката за странично зареждане на DLL зареждат друг потребителски зловреден софтуер, който изследователите наричат KamiKakaBot, предназначен за четене и изпълнение на команди.

Персонализиран зловреден софтуер

Cucky и Ctealer са потребителски програми за кражба на информация, написани съответно на .NET и C++. И двата се опитват да открият и извлекат пароли, история на сърфиране, запазени влизания и бисквитки от дълъг списък уеб браузъри: Chrome, Microsoft Edge, CocCoc, Chromium, Brave, Atom, Uran, Sputnik, Slimjet, Epic Privacy, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Avast Secure Browser и Yandex Browser.

TelePowerBot е имплант в регистъра, който се стартира чрез скрипт при зареждане на системата и се свързва с канал в Telegram, откъдето получава команди на PowerShell за изпълнение.

„По време на заразяването извършителите  изпълняват няколко стандартни команди (напр. net share, Get-SmbShare), за да определят кои мрежови ресурси са свързани към заразеното устройство. Ако бъде установено използване на мрежов диск, те ще започнат да изследват този диск, за да намерят файлове, които може да представляват интерес за тях, и потенциално да ги екфилтрират“ – отбелязва Group-IB.

Като цяло командите могат да стартират прости конзолни инструменти или сложни скриптове на PowerShell, които позволяват странично движение чрез сменяеми USB устройства.

KamiKakaBot е .NET версията на TelePowerBot, която също разполага с възможности за кражба на информация, насочена към данни, съхранявани в браузъри, базирани на Chrome и Firefox.

В допълнение към тези инструменти Dark Pink използва и скрипт за запис на звук през микрофона на всяка минута. Данните се записват като ZIP архив във временната папка на Windows, преди да бъдат ексфилтрирани към бота на Telegram.

По подобен начин извършителят използва специална програма за ексфилтрация на месинджър, наречена ZMsg, изтеглена от GitHub. Помощната програма краде съобщения от Viber, Telegram и Zalo и ги съхранява в „%TEMP%\KoVosRLvmU\“, докато не бъдат ексфилтрирани.

Предишен доклад на китайската компания за киберсигурност Anheng Hunting Labs, която следи Dark Pink като Saaiwc Group, описва някои вериги от атаки и отбелязва, че в една от тях хакерът е използвал шаблон на Microsoft Office със зловреден макрокод, за да експлоатира по-стара уязвимост с висока степен на опасност, идентифицирана като CVE-2017-0199.

Въпреки че Group-IB потвърждава с висока степен на сигурност, че Dark Pink е отговорен за седем атаки, изследователите отбелязват, че броят им може да е по-голям.

Компанията е информирала всичките седем организации за компрометиращата дейност на заплахата и ще продължи да следи операциите на Dark Pink.

Основен източник и снимки:Group-IB

Източник: По материали от Интернет

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
18/09/2024

Китаец е използвал спиър фи...

В понеделник САЩ обявиха обвинения срещу...
16/09/2024

Всичко, което трябва да зна...

Fortinet твърди, че няма доказателства за...
15/09/2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!