Търсене
Close this search box.

Новата група Dark Pink се цели в правителства и военни

Атаките, насочени към правителствени агенции и военни структури в множество държави от региона на APAC, се приписват на нова хакерска група, която използва персонализиран зловреден софтуер за кражба на поверителна информация.

Изследователите по сигурността наричат тази група Dark Pink (Group-IB) или Saaiwc Group (Anheng Hunting Labs), като отбелязват, че тя използва необичайни тактики, техники и процедури (TTPs).

Наблюдаваният при атаките персонализиран набор от инструменти може да се използва за кражба на информация и разпространение на зловреден софтуер чрез USB устройства. Извършителят е използвал методи за странично зареждане на DLL и изпълнение, предизвикано от събитие, за да стартира полезните си товари в компрометираните системи.

В доклад, публикуван от компанията за киберсигурност Group-IB, се казва, че целта на заплахата е да се открадне информация от браузърите на жертвата, да се получи достъп до месинджъри, да се ексфилтрират документи и да се заснеме звук от микрофона на заразеното устройство.

Считана за усъвършенствана постоянна заплаха (APT), Dark Pink е извършила поне седем успешни атаки между юни и декември 2022г.

Първоначално компрометиране

Типичният първоначален вектор на атаката на Dark Pink са фишинг имейли, маскирани като молби за работа, които подмамват жертвата да изтегли зловреден файл с ISO изображение. След тази стъпка Group-IB наблюдава множество варианти във веригата на атаката.

При един от тях се използваше цялостен ISO файл, съхраняващ документ-примамка, подписан изпълним файл и зловреден DLL файл, което доведе до разгръщане на един от двата използвани от групата потребителски устройства за кражба на информация (Ctealer или Cucky) чрез странично зареждане на DLL. На следващия етап щеше да бъде пуснат имплант на регистъра, наречен TelePowerBot.

Друга верига от атаки използва документ на Microsoft Office (.DOC) във вътрешността на ISO файл. Когато жертвата отвори файла, от GitHub се изтегля шаблон със зловреден макрос, който има за задача да зареди TelePowerBot и да извърши промени в регистъра на Windows.

Третата верига от атаки, наблюдавана през декември 2022г., е идентична с първата. Вместо да зарежда TelePowerBot обаче, зловредният ISO файл и техниката за странично зареждане на DLL зареждат друг потребителски зловреден софтуер, който изследователите наричат KamiKakaBot, предназначен за четене и изпълнение на команди.

Персонализиран зловреден софтуер

Cucky и Ctealer са потребителски програми за кражба на информация, написани съответно на .NET и C++. И двата се опитват да открият и извлекат пароли, история на сърфиране, запазени влизания и бисквитки от дълъг списък уеб браузъри: Chrome, Microsoft Edge, CocCoc, Chromium, Brave, Atom, Uran, Sputnik, Slimjet, Epic Privacy, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Avast Secure Browser и Yandex Browser.

TelePowerBot е имплант в регистъра, който се стартира чрез скрипт при зареждане на системата и се свързва с канал в Telegram, откъдето получава команди на PowerShell за изпълнение.

„По време на заразяването извършителите  изпълняват няколко стандартни команди (напр. net share, Get-SmbShare), за да определят кои мрежови ресурси са свързани към заразеното устройство. Ако бъде установено използване на мрежов диск, те ще започнат да изследват този диск, за да намерят файлове, които може да представляват интерес за тях, и потенциално да ги екфилтрират“ – отбелязва Group-IB.

Като цяло командите могат да стартират прости конзолни инструменти или сложни скриптове на PowerShell, които позволяват странично движение чрез сменяеми USB устройства.

KamiKakaBot е .NET версията на TelePowerBot, която също разполага с възможности за кражба на информация, насочена към данни, съхранявани в браузъри, базирани на Chrome и Firefox.

В допълнение към тези инструменти Dark Pink използва и скрипт за запис на звук през микрофона на всяка минута. Данните се записват като ZIP архив във временната папка на Windows, преди да бъдат ексфилтрирани към бота на Telegram.

По подобен начин извършителят използва специална програма за ексфилтрация на месинджър, наречена ZMsg, изтеглена от GitHub. Помощната програма краде съобщения от Viber, Telegram и Zalo и ги съхранява в „%TEMP%\KoVosRLvmU\“, докато не бъдат ексфилтрирани.

Предишен доклад на китайската компания за киберсигурност Anheng Hunting Labs, която следи Dark Pink като Saaiwc Group, описва някои вериги от атаки и отбелязва, че в една от тях хакерът е използвал шаблон на Microsoft Office със зловреден макрокод, за да експлоатира по-стара уязвимост с висока степен на опасност, идентифицирана като CVE-2017-0199.

Въпреки че Group-IB потвърждава с висока степен на сигурност, че Dark Pink е отговорен за седем атаки, изследователите отбелязват, че броят им може да е по-голям.

Компанията е информирала всичките седем организации за компрометиращата дейност на заплахата и ще продължи да следи операциите на Dark Pink.

Основен източник и снимки:Group-IB

Източник: По материали от Интернет

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
Бъдете социални
Още по темата
27/05/2024

Войната за чиповете

Производителят на машини за чипове ASML...
27/05/2024

Недостатък в Replicate AI и...

Изследователи в областта на киберсигурността са...
27/05/2024

Фалшиви антивирусни сайтове...

Наблюдавани са  заплахи, които използват фалшиви...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!