Новата група Dark Pink се цели в правителства и военни

Атаките, насочени към правителствени агенции и военни структури в множество държави от региона на APAC, се приписват на нова хакерска група, която използва персонализиран зловреден софтуер за кражба на поверителна информация.

Изследователите по сигурността наричат тази група Dark Pink (Group-IB) или Saaiwc Group (Anheng Hunting Labs), като отбелязват, че тя използва необичайни тактики, техники и процедури (TTPs).

Наблюдаваният при атаките персонализиран набор от инструменти може да се използва за кражба на информация и разпространение на зловреден софтуер чрез USB устройства. Извършителят е използвал методи за странично зареждане на DLL и изпълнение, предизвикано от събитие, за да стартира полезните си товари в компрометираните системи.

В доклад, публикуван от компанията за киберсигурност Group-IB, се казва, че целта на заплахата е да се открадне информация от браузърите на жертвата, да се получи достъп до месинджъри, да се ексфилтрират документи и да се заснеме звук от микрофона на заразеното устройство.

Считана за усъвършенствана постоянна заплаха (APT), Dark Pink е извършила поне седем успешни атаки между юни и декември 2022г.

Първоначално компрометиране

Типичният първоначален вектор на атаката на Dark Pink са фишинг имейли, маскирани като молби за работа, които подмамват жертвата да изтегли зловреден файл с ISO изображение. След тази стъпка Group-IB наблюдава множество варианти във веригата на атаката.

При един от тях се използваше цялостен ISO файл, съхраняващ документ-примамка, подписан изпълним файл и зловреден DLL файл, което доведе до разгръщане на един от двата използвани от групата потребителски устройства за кражба на информация (Ctealer или Cucky) чрез странично зареждане на DLL. На следващия етап щеше да бъде пуснат имплант на регистъра, наречен TelePowerBot.

Друга верига от атаки използва документ на Microsoft Office (.DOC) във вътрешността на ISO файл. Когато жертвата отвори файла, от GitHub се изтегля шаблон със зловреден макрос, който има за задача да зареди TelePowerBot и да извърши промени в регистъра на Windows.

Третата верига от атаки, наблюдавана през декември 2022г., е идентична с първата. Вместо да зарежда TelePowerBot обаче, зловредният ISO файл и техниката за странично зареждане на DLL зареждат друг потребителски зловреден софтуер, който изследователите наричат KamiKakaBot, предназначен за четене и изпълнение на команди.

Персонализиран зловреден софтуер

Cucky и Ctealer са потребителски програми за кражба на информация, написани съответно на .NET и C++. И двата се опитват да открият и извлекат пароли, история на сърфиране, запазени влизания и бисквитки от дълъг списък уеб браузъри: Chrome, Microsoft Edge, CocCoc, Chromium, Brave, Atom, Uran, Sputnik, Slimjet, Epic Privacy, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Avast Secure Browser и Yandex Browser.

TelePowerBot е имплант в регистъра, който се стартира чрез скрипт при зареждане на системата и се свързва с канал в Telegram, откъдето получава команди на PowerShell за изпълнение.

„По време на заразяването извършителите  изпълняват няколко стандартни команди (напр. net share, Get-SmbShare), за да определят кои мрежови ресурси са свързани към заразеното устройство. Ако бъде установено използване на мрежов диск, те ще започнат да изследват този диск, за да намерят файлове, които може да представляват интерес за тях, и потенциално да ги екфилтрират“ – отбелязва Group-IB.

Като цяло командите могат да стартират прости конзолни инструменти или сложни скриптове на PowerShell, които позволяват странично движение чрез сменяеми USB устройства.

KamiKakaBot е .NET версията на TelePowerBot, която също разполага с възможности за кражба на информация, насочена към данни, съхранявани в браузъри, базирани на Chrome и Firefox.

В допълнение към тези инструменти Dark Pink използва и скрипт за запис на звук през микрофона на всяка минута. Данните се записват като ZIP архив във временната папка на Windows, преди да бъдат ексфилтрирани към бота на Telegram.

По подобен начин извършителят използва специална програма за ексфилтрация на месинджър, наречена ZMsg, изтеглена от GitHub. Помощната програма краде съобщения от Viber, Telegram и Zalo и ги съхранява в „%TEMP%\KoVosRLvmU\“, докато не бъдат ексфилтрирани.

Предишен доклад на китайската компания за киберсигурност Anheng Hunting Labs, която следи Dark Pink като Saaiwc Group, описва някои вериги от атаки и отбелязва, че в една от тях хакерът е използвал шаблон на Microsoft Office със зловреден макрокод, за да експлоатира по-стара уязвимост с висока степен на опасност, идентифицирана като CVE-2017-0199.

Въпреки че Group-IB потвърждава с висока степен на сигурност, че Dark Pink е отговорен за седем атаки, изследователите отбелязват, че броят им може да е по-голям.

Компанията е информирала всичките седем организации за компрометиращата дейност на заплахата и ще продължи да следи операциите на Dark Pink.

Основен източник и снимки:Group-IB

Източник: По материали от Интернет

Подобни публикации

30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
Бъдете социални
Още по темата
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
24/05/2023

GoldenJackal работи активно...

Правителствени и дипломатически структури в Близкия...
24/05/2023

Кибератаки срещу държавни о...

Екипът за реагиране при компютърни инциденти...
Последно добавени
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
30/05/2023

Нов хакерски форум пусна да...

База данни за известния хакерски форум...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!