Новата група Dark Pink се цели в правителства и военни

Атаките, насочени към правителствени агенции и военни структури в множество държави от региона на APAC, се приписват на нова хакерска група, която използва персонализиран зловреден софтуер за кражба на поверителна информация.

Изследователите по сигурността наричат тази група Dark Pink (Group-IB) или Saaiwc Group (Anheng Hunting Labs), като отбелязват, че тя използва необичайни тактики, техники и процедури (TTPs).

Наблюдаваният при атаките персонализиран набор от инструменти може да се използва за кражба на информация и разпространение на зловреден софтуер чрез USB устройства. Извършителят е използвал методи за странично зареждане на DLL и изпълнение, предизвикано от събитие, за да стартира полезните си товари в компрометираните системи.

В доклад, публикуван от компанията за киберсигурност Group-IB, се казва, че целта на заплахата е да се открадне информация от браузърите на жертвата, да се получи достъп до месинджъри, да се ексфилтрират документи и да се заснеме звук от микрофона на заразеното устройство.

Считана за усъвършенствана постоянна заплаха (APT), Dark Pink е извършила поне седем успешни атаки между юни и декември 2022г.

Първоначално компрометиране

Типичният първоначален вектор на атаката на Dark Pink са фишинг имейли, маскирани като молби за работа, които подмамват жертвата да изтегли зловреден файл с ISO изображение. След тази стъпка Group-IB наблюдава множество варианти във веригата на атаката.

При един от тях се използваше цялостен ISO файл, съхраняващ документ-примамка, подписан изпълним файл и зловреден DLL файл, което доведе до разгръщане на един от двата използвани от групата потребителски устройства за кражба на информация (Ctealer или Cucky) чрез странично зареждане на DLL. На следващия етап щеше да бъде пуснат имплант на регистъра, наречен TelePowerBot.

Друга верига от атаки използва документ на Microsoft Office (.DOC) във вътрешността на ISO файл. Когато жертвата отвори файла, от GitHub се изтегля шаблон със зловреден макрос, който има за задача да зареди TelePowerBot и да извърши промени в регистъра на Windows.

Третата верига от атаки, наблюдавана през декември 2022г., е идентична с първата. Вместо да зарежда TelePowerBot обаче, зловредният ISO файл и техниката за странично зареждане на DLL зареждат друг потребителски зловреден софтуер, който изследователите наричат KamiKakaBot, предназначен за четене и изпълнение на команди.

Персонализиран зловреден софтуер

Cucky и Ctealer са потребителски програми за кражба на информация, написани съответно на .NET и C++. И двата се опитват да открият и извлекат пароли, история на сърфиране, запазени влизания и бисквитки от дълъг списък уеб браузъри: Chrome, Microsoft Edge, CocCoc, Chromium, Brave, Atom, Uran, Sputnik, Slimjet, Epic Privacy, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Avast Secure Browser и Yandex Browser.

TelePowerBot е имплант в регистъра, който се стартира чрез скрипт при зареждане на системата и се свързва с канал в Telegram, откъдето получава команди на PowerShell за изпълнение.

„По време на заразяването извършителите  изпълняват няколко стандартни команди (напр. net share, Get-SmbShare), за да определят кои мрежови ресурси са свързани към заразеното устройство. Ако бъде установено използване на мрежов диск, те ще започнат да изследват този диск, за да намерят файлове, които може да представляват интерес за тях, и потенциално да ги екфилтрират“ – отбелязва Group-IB.

Като цяло командите могат да стартират прости конзолни инструменти или сложни скриптове на PowerShell, които позволяват странично движение чрез сменяеми USB устройства.

KamiKakaBot е .NET версията на TelePowerBot, която също разполага с възможности за кражба на информация, насочена към данни, съхранявани в браузъри, базирани на Chrome и Firefox.

В допълнение към тези инструменти Dark Pink използва и скрипт за запис на звук през микрофона на всяка минута. Данните се записват като ZIP архив във временната папка на Windows, преди да бъдат ексфилтрирани към бота на Telegram.

По подобен начин извършителят използва специална програма за ексфилтрация на месинджър, наречена ZMsg, изтеглена от GitHub. Помощната програма краде съобщения от Viber, Telegram и Zalo и ги съхранява в „%TEMP%\KoVosRLvmU\“, докато не бъдат ексфилтрирани.

Предишен доклад на китайската компания за киберсигурност Anheng Hunting Labs, която следи Dark Pink като Saaiwc Group, описва някои вериги от атаки и отбелязва, че в една от тях хакерът е използвал шаблон на Microsoft Office със зловреден макрокод, за да експлоатира по-стара уязвимост с висока степен на опасност, идентифицирана като CVE-2017-0199.

Въпреки че Group-IB потвърждава с висока степен на сигурност, че Dark Pink е отговорен за седем атаки, изследователите отбелязват, че броят им може да е по-голям.

Компанията е информирала всичките седем организации за компрометиращата дейност на заплахата и ще продължи да следи операциите на Dark Pink.

Основен източник и снимки:Group-IB

Източник: По материали от Интернет

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
30 ноември 2023

Microsoft започва тестване на новата функция за...

Microsoft започна да тества нова функция на Windows 11 Energy Saver...
Бъдете социални
Още по темата
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
29/11/2023

DP World потвърждава кибера...

Международният логистичен гигант DP World потвърди,...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!