Атаките, насочени към правителствени агенции и военни структури в множество държави от региона на APAC, се приписват на нова хакерска група, която използва персонализиран зловреден софтуер за кражба на поверителна информация.

Изследователите по сигурността наричат тази група Dark Pink (Group-IB) или Saaiwc Group (Anheng Hunting Labs), като отбелязват, че тя използва необичайни тактики, техники и процедури (TTPs).

Наблюдаваният при атаките персонализиран набор от инструменти може да се използва за кражба на информация и разпространение на зловреден софтуер чрез USB устройства. Извършителят е използвал методи за странично зареждане на DLL и изпълнение, предизвикано от събитие, за да стартира полезните си товари в компрометираните системи.

В доклад, публикуван от компанията за киберсигурност Group-IB, се казва, че целта на заплахата е да се открадне информация от браузърите на жертвата, да се получи достъп до месинджъри, да се ексфилтрират документи и да се заснеме звук от микрофона на заразеното устройство.

Считана за усъвършенствана постоянна заплаха (APT), Dark Pink е извършила поне седем успешни атаки между юни и декември 2022г.

Първоначално компрометиране

Типичният първоначален вектор на атаката на Dark Pink са фишинг имейли, маскирани като молби за работа, които подмамват жертвата да изтегли зловреден файл с ISO изображение. След тази стъпка Group-IB наблюдава множество варианти във веригата на атаката.

При един от тях се използваше цялостен ISO файл, съхраняващ документ-примамка, подписан изпълним файл и зловреден DLL файл, което доведе до разгръщане на един от двата използвани от групата потребителски устройства за кражба на информация (Ctealer или Cucky) чрез странично зареждане на DLL. На следващия етап щеше да бъде пуснат имплант на регистъра, наречен TelePowerBot.

Друга верига от атаки използва документ на Microsoft Office (.DOC) във вътрешността на ISO файл. Когато жертвата отвори файла, от GitHub се изтегля шаблон със зловреден макрос, който има за задача да зареди TelePowerBot и да извърши промени в регистъра на Windows.

Третата верига от атаки, наблюдавана през декември 2022г., е идентична с първата. Вместо да зарежда TelePowerBot обаче, зловредният ISO файл и техниката за странично зареждане на DLL зареждат друг потребителски зловреден софтуер, който изследователите наричат KamiKakaBot, предназначен за четене и изпълнение на команди.

Персонализиран зловреден софтуер

Cucky и Ctealer са потребителски програми за кражба на информация, написани съответно на .NET и C++. И двата се опитват да открият и извлекат пароли, история на сърфиране, запазени влизания и бисквитки от дълъг списък уеб браузъри: Chrome, Microsoft Edge, CocCoc, Chromium, Brave, Atom, Uran, Sputnik, Slimjet, Epic Privacy, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Avast Secure Browser и Yandex Browser.

TelePowerBot е имплант в регистъра, който се стартира чрез скрипт при зареждане на системата и се свързва с канал в Telegram, откъдето получава команди на PowerShell за изпълнение.

„По време на заразяването извършителите  изпълняват няколко стандартни команди (напр. net share, Get-SmbShare), за да определят кои мрежови ресурси са свързани към заразеното устройство. Ако бъде установено използване на мрежов диск, те ще започнат да изследват този диск, за да намерят файлове, които може да представляват интерес за тях, и потенциално да ги екфилтрират“ – отбелязва Group-IB.

Като цяло командите могат да стартират прости конзолни инструменти или сложни скриптове на PowerShell, които позволяват странично движение чрез сменяеми USB устройства.

KamiKakaBot е .NET версията на TelePowerBot, която също разполага с възможности за кражба на информация, насочена към данни, съхранявани в браузъри, базирани на Chrome и Firefox.

В допълнение към тези инструменти Dark Pink използва и скрипт за запис на звук през микрофона на всяка минута. Данните се записват като ZIP архив във временната папка на Windows, преди да бъдат ексфилтрирани към бота на Telegram.

По подобен начин извършителят използва специална програма за ексфилтрация на месинджър, наречена ZMsg, изтеглена от GitHub. Помощната програма краде съобщения от Viber, Telegram и Zalo и ги съхранява в „%TEMP%\KoVosRLvmU\“, докато не бъдат ексфилтрирани.

Предишен доклад на китайската компания за киберсигурност Anheng Hunting Labs, която следи Dark Pink като Saaiwc Group, описва някои вериги от атаки и отбелязва, че в една от тях хакерът е използвал шаблон на Microsoft Office със зловреден макрокод, за да експлоатира по-стара уязвимост с висока степен на опасност, идентифицирана като CVE-2017-0199.

Въпреки че Group-IB потвърждава с висока степен на сигурност, че Dark Pink е отговорен за седем атаки, изследователите отбелязват, че броят им може да е по-голям.

Компанията е информирала всичките седем организации за компрометиращата дейност на заплахата и ще продължи да следи операциите на Dark Pink.

Основен източник и снимки:Group-IB

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
Бъдете социални
Още по темата
24/01/2025

Шефът на НАТО бърза с внедр...

Световният икономически форум предложи поглед към...
24/01/2025

Цялото население на Грузия ...

База данни с милиони данни за...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!