En ny APT-gruppe ved navn Dark Pink har rettet seg mot militære og statlige organer i en rekke Asia-Stillehavsland for å hente ut verdifull dokumentasjon.
Dark Pink APT Group tar sikte og militær og regjering
En haug med avanserte vedvarende trusselangrep (APT). ble funnet å bli lansert av en gruppe kjent som Dark Pink mellom juni og desember 2022. Angrepene ble satt i gang mot flere land i Asia-Stillehavet, inkludert Kambodsja, Vietnam, Malaysia, Indonesia og Filippinene. Ett europeisk land, Bosnia-Hercegovina, ble også målrettet.
Dark Pink-angrepene ble først oppdaget av Albert Priego, en malwareanalytiker fra Group-IB. I en Group-IB blogginnlegg angående hendelsene, ble det uttalt at de ondsinnede Dark Pink-operatørene "utnytter et nytt sett med taktikker, teknikker og prosedyrer som sjelden brukes av tidligere kjente APT-grupper." For å gå nærmere i detalj, skrev Group-IB om et tilpasset verktøysett med fire forskjellige infostelere: TelePowerBot, KamiKakaBot, Cucky og Ctealer.
Disse infostelerne blir brukt av Dark Pink til å trekke ut verdifulle dokumenter som er lagret i offentlige og militære nettverk.
Den første vektoren av Dark Pinks angrep ble sagt å være phishing-kampanjer, der operatørene ville utgi seg for jobbsøkere. Group-IB bemerket også at Dark Pink har muligheten til å infisere USB-enheter koblet til kompromitterte datamaskiner. På toppen av dette kan Dark Pink få tilgang til meldingene som er installert på de infiserte datamaskinene.
Group-IB delte en infografikk om Dark Pink-angrepene på Twitter-siden sin, som vist nedenfor.
Mens de fleste angrepene fant sted i Vietnam (med ett mislykket), fant totalt fem ekstra angrep også sted i andre nasjoner.
Dark Pinks operatører er foreløpig ukjente
I skrivende stund er operatørene bak Dark Pink fortsatt ukjente. Imidlertid uttalte Group-IB i det nevnte innlegget at "en blanding av nasjonalstatlige trusselaktører fra Kina, Nord-Korea, Iran og Pakistan" har vært knyttet til APT-angrep i Asia-Stillehavslandene. Men det ble lagt merke til at det ser ut til at Dark Pink kom til allerede i midten av 2021, med en økning i aktiviteten som oppsto i midten av 2022.
Group-IB bemerket også at målet med slike angrep ofte er å begå spionasje, snarere enn å tjene økonomisk.
Den mørkerosa APT-gruppen forblir aktiv
I sitt blogginnlegg informerte Group-IB leserne om at i skrivende stund (11. januar 2023) forblir Dark Pink APT-gruppen aktiv. Siden angrepene ikke tok slutt før sent i 2022, undersøker Group-IB fortsatt problemet og bestemmer omfanget.
Selskapet håper å avdekke operatørene av disse angrepene, og uttalte i sitt blogginnlegg at den foreløpige forskningen som ble utført på hendelsen skulle "gå langt for å øke bevisstheten om de nye TTP-ene som brukes av denne trusselaktøren og hjelpe organisasjoner til å ta de relevante skritt for å beskytte seg mot en potensielt ødeleggende APT angrep".
APT-grupper utgjør en stor sikkerhetstrussel
Avanserte vedvarende trusselgrupper (APT) utgjør en enorm risiko for organisasjoner over hele verden. Ettersom cyberkriminalitetsmetoder fortsetter å øke i deres sofistikerte, vet man ikke hva slags angrep APT-grupper vil starte neste gang, og hvilke konsekvenser det vil ha på målet.
