Nová skupina APT s názvom Dark Pink sa zameriava na vojenské a vládne orgány v mnohých ázijsko-pacifických krajinách, aby získala cennú dokumentáciu.
Tmavoružová skupina APT sa zameriava na vojenské a vládne účely
Zabil pokročilé útoky pretrvávajúcej hrozby (APT). Zistilo sa, že ju spustila skupina známa ako Dark Pink medzi júnom a decembrom 2022. Útoky boli spustené proti niekoľkým krajinám ázijsko-pacifickej oblasti vrátane Kambodže, Vietnamu, Malajzie, Indonézie a Filipín. Terčom bola aj jedna európska krajina, Bosna a Hercegovina.
Útoky Dark Pink prvýkrát objavil Albert Priego, analytik malvéru Group-IB. V Blogový príspevok skupiny IB týkajúci sa incidentovbolo uvedené, že zlomyseľní operátori Dark Pink „využívajú nový súbor taktík, techník a postupov, ktoré predtým známe Skupiny APT." Keď ideme do ďalších podrobností, Group-IB napísala o vlastnej súprave nástrojov, ktorá obsahuje štyri rôzne infokradery: TelePowerBot, KamiKakaBot, Cucky a Ctealer.
Týchto infokraderov využíva Dark Pink na získavanie cenných dokumentov uložených vo vládnych a vojenských sieťach.
Počiatočný vektor útokov Dark Pink vraj bol phishingové kampane, kde by sa prevádzkovatelia vydávali za uchádzačov o zamestnanie. Group-IB tiež poznamenala, že Dark Pink má schopnosť infikovať USB zariadenia pripojené k napadnutým počítačom. Okrem toho má Dark Pink prístup k messengerom nainštalovaným na infikovaných počítačoch.
Group-IB zdieľala infografiku o útokoch Dark Pink na svojej stránke na Twitteri, ako je uvedené nižšie.
Zatiaľ čo väčšina útokov sa odohrala vo Vietname (jeden bol neúspešný), celkovo päť ďalších útokov sa odohralo aj v iných krajinách.
Operátori Dark Pink sú momentálne neznámi
V čase písania tohto článku zostávajú operátori za Dark Pink neznámi. Skupina IB však vo vyššie uvedenom príspevku uviedla, že „zmes aktérov hroziacich národný štát z Číny, Severnej Kórey, Iránu a Pakistanu“ boli spojené s útokmi APT v ázijsko-tichomorských krajinách. Bolo však poznamenané, že sa zdá, že Dark Pink sa objavila už v polovici roku 2021, pričom prudký nárast aktivity nastal v polovici roku 2022.
Group-IB tiež poznamenala, že cieľom takýchto útokov je často skôr spáchanie špionáže ako finančný prospech.
Tmavoružová skupina APT zostáva aktívna
Vo svojom blogovom príspevku Group-IB informovala čitateľov, že v čase písania tohto článku (11. januára 2023) zostáva skupina Dark Pink APT aktívna. Keďže útoky sa skončili až koncom roka 2022, Group-IB stále vyšetruje problém a určuje jeho rozsah.
Spoločnosť dúfa, že odhalí operátorov týchto útokov, a vo svojom blogovom príspevku uviedla, že predbežný výskum vykonaný v súvislosti s incidentom by mal „urobiť dlhú cestu k zvyšovanie povedomia o nových TTP využívaných týmto aktérom hrozby a pomáha organizáciám podniknúť príslušné kroky na ochranu pred potenciálne ničivým APT útok“.
Skupiny APT predstavujú obrovskú bezpečnostnú hrozbu
Skupiny pokročilých pretrvávajúcich hrozieb (APT) predstavujú obrovské riziko pre organizácie na celom svete. Keďže metódy počítačovej kriminality neustále narastajú vo svojej sofistikovanosti, nie je známe, aký druh útoku skupiny APT zahájia ako ďalší a aké následky to bude mať na cieľ.