Ο απειλητικός παράγοντας Dark Pink APT συνδέθηκε πρόσφατα με ένα νέο κύμα επιθέσεων εναντίον κυβερνητικών και στρατιωτικών ιδρυμάτων σε χώρες της Νοτιοανατολικής Ασίας, χρησιμοποιώντας το malware KamiKakaBot.
Δείτε επίσης: Η Cerebral μοιράστηκε δεδομένα ασθενών με Meta, Google, TikTok
Η ομάδα Dark Pink, που ονομάζεται και Saaiwc, εντοπίστηκε για πρώτη φορά από την Group-IB νωρίτερα μέσα στην χρονιά. Η Group-IB ανέφερε ότι η ομάδα Dark Pink χρησιμοποιεί προσαρμοσμένα εργαλεία όπως το TelePowerBot και το KamiKakaBot για την εκτέλεση αυθαίρετων εντολών και την εξαγωγή ευαίσθητων πληροφοριών.
Οι πληροφορίες υποδεικνύουν ότι η πιθανή πηγή αυτής της κακόβουλης δραστηριότητας βρίσκεται στην περιοχή της Ασίας-Ειρηνικού και ότι το θέμα αυτό είναι σε εξέλιξη τουλάχιστον από τα μέσα του 2021. Φέτος παρατηρήθηκε μια έξαρση των επιθέσεων από αυτόν τον απειλητικό παράγοντα με αυξημένη συχνότητα και ένταση.
«Οι τελευταίες επιθέσεις, που έγιναν τον Φεβρουάριο του 2023, ήταν σχεδόν πανομοιότυπες με προηγούμενες επιθέσεις», αποκάλυψε η ολλανδική εταιρεία κυβερνοασφάλειας EclecticIQ σε μια νέα έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.
«Η κύρια διαφορά στην καμπάνια του Φεβρουαρίου είναι ότι η ρουτίνα obfuscation του κακόβουλου λογισμικού έχει βελτιωθεί για να αποφύγει καλύτερα τα μέτρα κατά του κακόβουλου λογισμικού.»
Δείτε επίσης: Η AI επίθεση BlackMamba αποφεύγει τις προηγμένες λύσεις ασφαλείας EDR
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν δέλεαρ social engineering, οι οποίες περιλαμβάνουν συνημμένα αρχεία εικόνας ISO σε email, για να παραδώσουν το κακόβουλο λογισμικό τους.
Η εικόνα ISO περιέχει ένα εκτελέσιμο αρχείο (Winword.exe), έναν loader (MSVCR100.dll) και ένα μεταμφιεσμένο αρχείο Microsoft Word που είναι ήδη φορτωμένο με το ισχυρό ωφέλιμο φορτίο KamiKakaBot.
Ο loader έχει δημιουργηθεί για να χρησιμοποιεί την DLL, επιτρέποντάς του να φορτώνει κρυφά το malware KamiKakaBot στη μνήμη του Winword.exe και να παρακάμπτει τυχόν μέτρα ασφαλείας που υπάρχουν.
Το KamiKakaBot έχει σχεδιαστεί για να κλέβει δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης στο διαδίκτυο, να εκτελεί απομακρυσμένο κώδικα χρησιμοποιώντας Command Prompt (cmd.exe) και να χρησιμοποιεί στρατηγικές διαφυγής για να αναμειγνύεται στο περιβάλλον του αποφεύγοντας τον εντοπισμό.
Οι εγκληματίες του κυβερνοχώρου αναπτύσσουν κακόβουλες τροποποιήσεις κλειδιών μητρώου των Windows, εκμεταλλευόμενοι τη βιβλιοθήκη Winlogon Helper, προκειμένου να εγκαθιδρύσουν μια μόνιμη παρουσία στον υπολογιστή-στόχο τους. Στη συνέχεια, μεταφορτώνουν όλα τα δεδομένα που έχουν συγκεντρωθεί σε ένα κρυπτογραφημένο αρχείο ZIP, το οποίο στη συνέχεια αποστέλλεται με ασφάλεια μέσω του bot Telegram.
Δείτε επίσης: Το Medusa ransomware στοχεύει εταιρείες σε όλο τον κόσμο
«Η χρήση νόμιμων web services ως command-and-control (C2) server, όπως το Telegram, παραμένει η νούμερο ένα επιλογή για διαφορετικούς απειλητικούς παράγοντες, που κυμαίνονται από κανονικούς εγκληματίες του κυβερνοχώρου έως προχωρημένους απειλητικούς παράγοντες», είπε η εταιρεία.
«Είναι πολύ πιθανό η ομάδα Dark Pink APT να είναι φορείς που δραστηριοποιούνται στον κυβερνοχώρο με γνώμονα την κατασκοπεία και να έχουν στοχεύσει ειδικά τις σχέσεις μεταξύ των κρατών της ASEAN και των ευρωπαϊκών κρατών προκειμένου να δημιουργήσουν εκστρατείες phishing κατά τη διάρκεια του Φεβρουαρίου 2023».
Πηγή πληροφοριών: thehackernews.com
