En ny APT-gruppe ved navn Dark Pink har været rettet mod militære og regeringsorganer i adskillige Asien-Stillehavslande for at udtrække værdifuld dokumentation.
Dark Pink APT Group tager sigte og militær og regering
En masse af avancerede persistent trussel (APT) angreb blev fundet at være lanceret af en gruppe kendt som Dark Pink mellem juni og december 2022. Angrebene blev lanceret mod flere lande i Asien-Stillehavet, herunder Cambodja, Vietnam, Malaysia, Indonesien og Filippinerne. Et europæisk land, Bosnien-Hercegovina, blev også ramt.
Dark Pink-angrebene blev først opdaget af Albert Priego, en Group-IB malware-analytiker. I en Group-IB blogindlæg vedrørende hændelserne, blev det anført, at de ondsindede Dark Pink operatører "udnytter et nyt sæt taktikker, teknikker og procedurer, der sjældent blev brugt af tidligere kendte APT-grupper." For at gå i detaljer, skrev Group-IB om et brugerdefineret værktøjssæt med fire forskellige infostealere: TelePowerBot, KamiKakaBot, Cucky og Ctealer.
Disse infostealere bliver brugt af Dark Pink til at udtrække værdifulde dokumenter, der er gemt i regerings- og militærnetværk.
Den første vektor af Dark Pinks angreb blev sagt at være phishing-kampagner, hvori operatørerne ville efterligne jobansøgere. Group-IB bemærkede også, at Dark Pink har evnen til at inficere USB-enheder, der er tilsluttet kompromitterede computere. Oven i dette kan Dark Pink få adgang til de messengers, der er installeret på de inficerede computere.
Group-IB delte en infografik om Dark Pink-angrebene på sin Twitter-side, som vist nedenfor.
Mens de fleste af angrebene fandt sted i Vietnam (hvor et var mislykket), fandt i alt fem yderligere angreb også sted i andre nationer.
Dark Pink's operatører er i øjeblikket ukendte
I skrivende stund er operatørerne bag Dark Pink stadig ukendte. Group-IB udtalte dog i det førnævnte indlæg, at "en blanding af nationalstatslige trusselsaktører fra Kina, Nordkorea, Iran og Pakistan" har været bundet til APT-angreb i Asien-Stillehavslandene. Men det blev bemærket, at det ser ud til, at Dark Pink opstod allerede i midten af 2021, med en stigning i aktiviteten, der opstod i midten af 2022.
Group-IB bemærkede også, at formålet med sådanne angreb ofte er at begå spionage, snarere end at drage økonomisk fordel.
The Dark Pink APT Group forbliver aktiv
I sit blogindlæg informerede Group-IB læserne om, at i skrivende stund (11. januar 2023) forbliver Dark Pink APT-gruppen aktiv. Da angrebene først sluttede i slutningen af 2022, undersøger Group-IB stadig problemet og fastlægger dets omfang.
Virksomheden håber at afsløre operatørerne af disse angreb, og udtalte i sit blogindlæg, at den foreløbige forskning, der blev udført på hændelsen, skulle "gå langt til øge bevidstheden om de nye TTP'er, der anvendes af denne trusselsaktør og hjælpe organisationer med at tage de relevante skridt for at beskytte sig selv mod en potentielt ødelæggende APT angreb".
APT-grupper udgør en stor sikkerhedstrussel
Avancerede vedvarende trusler (APT)-grupper udgør en enorm risiko for organisationer over hele verden. Da cyberkriminalitetsmetoder fortsætter med at stige i deres sofistikerede, er der ingen viden om, hvilken slags angreb APT-grupper vil iværksætte næste gang, og hvilke konsekvenser det vil have på målet.
