Nova skupina APT, imenovana Dark Pink, cilja na vojaške in vladne organe v številnih azijsko-pacifiških državah, da bi pridobila dragoceno dokumentacijo.
Temno rožnata skupina APT cilja na vojsko in vlado
Množica napadi napredne trajne grožnje (APT). je bilo ugotovljeno, da ga je med junijem in decembrom 2022 lansirala skupina, znana kot Dark Pink. Napadi so bili izvedeni proti več državam v azijsko-pacifiškem območju, vključno s Kambodžo, Vietnamom, Malezijo, Indonezijo in Filipini. Tarča je bila tudi ena evropska država, Bosna in Hercegovina.
Napade Dark Pink je prvi odkril Albert Priego, analitik zlonamerne programske opreme Group-IB. V Objava v blogu Group-IB o incidentih, je bilo navedeno, da zlonamerni operaterji Dark Pink "izkoriščajo nov nabor taktik, tehnik in postopkov, ki jih prej znani redko uporabljajo Skupine APT." Če se poglobim v podrobnosti, je Group-IB napisal o kompletu orodij po meri, ki vključuje štiri različne kraje informacij: TelePowerBot, KamiKakaBot, Cucky in Ctealer.
Te kraje informacij uporablja Dark Pink za pridobivanje dragocenih dokumentov, shranjenih v vladnih in vojaških omrežjih.
Začetni vektor napadov Dark Pink naj bi bil spear phishing kampanje, pri čemer bi operaterji lažno predstavljali kandidate za zaposlitev. Group-IB je tudi opozoril, da lahko Dark Pink okuži naprave USB, povezane z ogroženimi računalniki. Poleg tega lahko Dark Pink dostopa do sporočil, nameščenih na okuženih računalnikih.
Group-IB je na svoji strani Twitter delil infografiko o napadih Dark Pink, kot je prikazano spodaj.
Medtem ko se je večina napadov zgodila v Vietnamu (eden je bil neuspešen), se je skupno pet dodatnih napadov zgodilo tudi v drugih državah.
Operaterji Dark Pink trenutno niso znani
V času pisanja so operaterji, ki stojijo za Dark Pink, še vedno neznani. Vendar je Group-IB v zgoraj omenjeni objavi izjavil, da je "mešanica akterjev groženj nacionalnih držav iz Kitajske, Severne Koreje, Irana in Pakistana« so bili povezani z napadi APT v azijsko-pacifiških državah. Vendar je bilo ugotovljeno, da se zdi, da se je temno rožnata pojavila že sredi leta 2021, z naraščanjem aktivnosti sredi leta 2022.
Skupina IB je tudi opozorila, da je cilj takih napadov pogosto vohunjenje, ne pa finančna korist.
Skupina Dark Pink APT ostaja aktivna
Group-IB je v svojem blogu obvestil bralce, da je v času pisanja (11. januarja 2023) skupina Dark Pink APT še vedno aktivna. Ker so se napadi končali šele konec leta 2022, Group-IB še vedno preiskuje težavo in določa njen obseg.
Podjetje upa, da bo odkrilo izvajalce teh napadov, in je v svoji objavi na spletnem dnevniku navedlo, da naj bi predhodna raziskava, opravljena o incidentu, "šla daleč ozaveščanje o novih TTP, ki jih uporablja ta akter grožnje, in pomoč organizacijam, da sprejmejo ustrezne korake za zaščito pred potencialno uničujočim APT napad".
Skupine APT predstavljajo veliko varnostno grožnjo
Skupine za napredne trajne grožnje (APT) predstavljajo veliko tveganje za organizacije po vsem svetu. Ker metode kibernetske kriminalitete še naprej postajajo vse bolj prefinjene, ne vemo, kakšen napad bodo skupine APT izvedle naslednjič in kakšne posledice bo imel na tarči.
