En ny APT-grupp vid namn Dark Pink har riktat in sig på militära och statliga organ inom många länder i Asien och Stillahavsområdet för att utvinna värdefull dokumentation.
Mörkrosa APT Group tar mål och militär och regering
En massa avancerade persistent hot (APT) attacker visade sig ha lanserats av en grupp känd som Dark Pink mellan juni och december 2022. Attackerna inleddes mot flera länder i Asien-Stillahavsområdet, inklusive Kambodja, Vietnam, Malaysia, Indonesien och Filippinerna. Ett europeiskt land, Bosnien och Hercegovina, var också måltavla.
Dark Pink-attackerna upptäcktes först av Albert Priego, en skadlig programvara från Group-IB. I en Group-IB blogginlägg angående incidenterna, sades det att de illvilliga Dark Pink-operatörerna "utnyttjar en ny uppsättning taktiker, tekniker och procedurer som sällan används av tidigare kända APT-grupper." För att gå in på ytterligare detaljer, skrev Group-IB om en anpassad verktygslåda med fyra olika infostealers: TelePowerBot, KamiKakaBot, Cucky och Ctealer.
Dessa infostealers används av Dark Pink för att extrahera värdefulla dokument som lagras inom statliga och militära nätverk.
Den första vektorn för Dark Pinks attacker sades vara nätfiskekampanjer, där operatörerna utger sig för att vara arbetssökande. Group-IB noterade också att Dark Pink har förmågan att infektera USB-enheter som är anslutna till komprometterade datorer. Ovanpå detta kan Dark Pink komma åt budbärarna som är installerade på de infekterade datorerna.
Group-IB delade en infografik om Dark Pink-attackerna på sin Twitter-sida, som visas nedan.
Medan de flesta av attackerna ägde rum i Vietnam (med en misslyckad), ägde totalt fem ytterligare attacker rum i andra nationer.
Dark Pinks operatörer är för närvarande okända
I skrivande stund är operatörerna bakom Dark Pink fortfarande okända. Group-IB uppgav dock i det tidigare nämnda inlägget att "en blandning av nationalstatliga hotaktörer från Kina, Nordkorea, Iran och Pakistan" har varit bundna till APT-attacker i länder i Asien och Stillahavsområdet. Men det noterades att det verkar som om Dark Pink kom till så tidigt som i mitten av 2021, med en ökning av aktiviteten i mitten av 2022.
Group-IB noterade också att syftet med sådana attacker ofta är att begå spioneri, snarare än att gynnas ekonomiskt.
Den mörkrosa APT-gruppen förblir aktiv
I sitt blogginlägg informerade Group-IB läsarna om att i skrivande stund (11 januari 2023) är gruppen Dark Pink APT fortfarande aktiv. Eftersom attackerna inte upphörde förrän i slutet av 2022 utreder Group-IB fortfarande frågan och bestämmer dess omfattning.
Företaget hoppas kunna avslöja operatörerna av dessa attacker, och sade i sitt blogginlägg att den preliminära forskningen som utfördes på incidenten borde "räcka långt för att öka medvetenheten om de nya TTP: er som används av denna hotaktör och hjälpa organisationer att vidta relevanta åtgärder för att skydda sig mot en potentiellt förödande APT ge sig på".
APT-grupper utgör ett enormt säkerhetshot
Avancerade persistent hot-grupper (APT) utgör en enorm risk för organisationer runt om i världen. Eftersom cyberbrottsmetoderna fortsätter att öka i sina sofistikerade, vet man inte vilken typ av attack APT-grupper kommer att starta härnäst och vilka konsekvenser det kommer att få på målet.
