Nova APT skupina pod nazivom Dark Pink ciljala je na vojna i vladina tijela u brojnim azijsko-pacifičkim nacijama kako bi izvukla vrijednu dokumentaciju.
Tamnoružičasta APT grupa cilja na vojsku i vladu
Niz napadi napredne trajne prijetnje (APT). otkriveno je da ga je pokrenula grupa poznata kao Dark Pink između lipnja i prosinca 2022. Napadi su pokrenuti protiv nekoliko zemalja u Aziji i Pacifiku, uključujući Kambodžu, Vijetnam, Maleziju, Indoneziju i Filipine. Na meti je bila i jedna europska država, Bosna i Hercegovina.
Napade Dark Pink prvi je otkrio Albert Priego, Group-IB analitičar malwarea. U Objava na blogu Group-IB o incidentima, navedeno je da zlonamjerni Dark Pink operateri "iskorištavaju novi skup taktika, tehnika i postupaka koje rijetko koriste ranije poznati APT grupe." Idući u daljnje detalje, Group-IB je napisao prilagođeni alat koji sadrži četiri različita infostealera: TelePowerBot, KamiKakaBot, Cucky i Ctealer.
Dark Pink koristi ove infostealere za izvlačenje vrijednih dokumenata pohranjenih unutar vladinih i vojnih mreža.
Rečeno je da je početni vektor Tamnoružičastih napada bio spear phishing kampanje, pri čemu bi operateri lažno predstavljali kandidate za posao. Group-IB je također primijetio da Dark Pink ima sposobnost zaraziti USB uređaje spojene na kompromitirana računala. Povrh toga, Dark Pink može pristupiti glasnicima instaliranim na zaraženim računalima.
Group-IB je podijelio infografiku o napadima Dark Pink na svojoj Twitter stranici, kao što je prikazano u nastavku.
Dok se većina napada dogodila u Vijetnamu (od kojih je jedan bio neuspješan), ukupno pet dodatnih napada također se dogodilo u drugim zemljama.
Operateri Dark Pink trenutno su nepoznati
U vrijeme pisanja ovog teksta, operateri koji stoje iza Dark Pink ostaju nepoznati. Međutim, Group-IB je u gore navedenom postu izjavio da je "mješavina aktera prijetnje nacionalne države iz Kine, Sjeverne Koreje, Irana i Pakistana" povezani su s APT napadima u azijsko-pacifičkim zemljama. No primijećeno je da se čini da se tamnoružičasta boja pojavila već sredinom 2021., s valom aktivnosti sredinom 2022. godine.
Group-IB je također primijetio da je cilj takvih napada često špijunaža, a ne financijska korist.
Tamnoružičasta APT grupa ostaje aktivna
U svom postu na blogu, Group-IB je obavijestio čitatelje da je, u vrijeme pisanja (11. siječnja 2023.), grupa Dark Pink APT i dalje aktivna. Budući da su napadi završili tek krajem 2022., Group-IB još uvijek istražuje problem i utvrđuje njegov opseg.
Tvrtka se nada da će otkriti organizatore ovih napada, a u svom postu na blogu navodi da bi preliminarno istraživanje o incidentu trebalo "ići daleko do podizanje svijesti o novim TTP-ovima koje koristi ova prijetnja i pomoć organizacijama da poduzmu relevantne korake kako bi se zaštitile od potencijalno razornog APT-a napad".
APT grupe predstavljaju veliku sigurnosnu prijetnju
Skupine s naprednom trajnom prijetnjom (APT) predstavljaju veliki rizik za organizacije diljem svijeta. Kako metode kibernetičkog kriminala nastavljaju rasti u svojoj sofisticiranosti, ne zna se kakav će sljedeći napad APT grupe pokrenuti i kakve će to posljedice imati na metu.