APAC bölgesindeki birden fazla ülkedeki devlet kurumlarını ve askeri organları hedefleyen saldırılar, gizli bilgileri çalmak için özel kötü amaçlı yazılımları kullanan yeni bir gelişmiş tehdit oyuncusu gibi görünen şeyle ilişkilendirildi.
Güvenlik araştırmacıları, bu gruba koyu pembe (Grup-IB) veya SAAIWC grubu (Anheng av laboratuvarları) olarak adlandırarak nadir taktikler, teknikler ve prosedürler (TTP'ler) kullandığını belirtmektedir.
Saldırılarda gözlemlenen özel araç seti, bilgi çalmak ve kötü amaçlı yazılımları USB sürücüleri aracılığıyla yaymak için kullanılabilir. Aktör, yüklerini tehlikeye atılan sistemlerde çalıştırmak için DLL yan yükleme ve olayla tetiklenen yürütme yöntemlerini kullandı.
Siber güvenlik şirketi Grup-IB tarafından yayınlanan bir rapor, tehdit oyuncunun amacının kurbanın tarayıcılarından bilgi çalmak, habercilere erişim kazanmak, belgeleri dışarı atmak ve enfekte cihaz mikrofonundan ses yakalamak olduğunu söylüyor.
Gelişmiş bir kalıcı tehdit (APT) olarak kabul edilen Dark Pink, Haziran ve Aralık 2022 arasında en az yedi başarılı saldırı başlattı.
Dark Pink'in tipik ilk saldırı vektörü, kurbanı kötü niyetli bir ISO görüntü dosyası indirmeye kandıran iş uygulamaları olarak gizlenmiş mızrak-aktı e-postalarıdır. Bu adımın ötesinde, Grup-Ib, saldırı zincirinde birden fazla varyasyon gördü.
Bunlardan biri, bir tuzak belgesini, imzalı bir yürütülebilir dosyayı ve kötü amaçlı bir DLL dosyasını saklayan her şey dahil bir ISO dosyası kullandı ve bu da grup tarafından kullanılan iki özel bilgi stealer'dan (CTealer veya cucky) DLL yan yükleme aracılığıyla dağıtılmasına yol açtı. . Bir sonraki aşamada, TelepowerBot adlı bir kayıt defteri implantı bırakılacaktı.
Başka bir saldırı zinciri, bir ISO dosyasının içinde bir Microsoft Office belgesi (.doc) kullanır. Kurban dosyayı açtığında, GitHub'dan kötü amaçlı bir makro olan bir şablon getirilir, telepowerBot yüklemek ve Windows kayıt defteri değişiklikleri gerçekleştirir.
Aralık 2022'de gözlemlenen üçüncü bir saldırı zinciri, birincisi ile aynıydı. Bununla birlikte, telepowerbot yüklemek yerine, kötü amaçlı ISO dosyası ve DLL yan yükleme tekniği, araştırmacıların komutları okumak ve yürütmek için tasarlanmış Kamikakabot dediği başka bir özel kötü amaçlı yazılım yükler.
Cucky ve CTealer, sırasıyla .NET ve C ++ 'da yazılmış özel info-stealer'lardır. Her ikisi de uzun bir web tarayıcıları listesinden şifreleri, tarama geçmişini, kaydedilmiş girişleri ve çerezleri bulmaya ve çıkarmaya çalışır: Chrome, Microsoft Edge, Coccoc, Chromium, Cesur, Atom, Uran, Sputnik, SlimJet, Epic Gizlilik, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Avast Güvenli Tarayıcı ve Yandex tarayıcısı.
TelepowerBot, System Boot'taki bir komut dosyası aracılığıyla başlatılan ve yürütülmesi için PowerShell komutlarını aldığı bir telgraf kanalına bağlanan bir kayıt defteri implantıdır.
“Enfeksiyon sırasında, tehdit aktörleri enfekte olmuş cihaza hangi ağ kaynaklarının bağlandığını belirlemek için çeşitli standart komutlar (örneğin net paylaşım, get-smbshare) yürütüyor. Ağ disk kullanımı bulunursa, ilginizi çeken dosyaları bulmak ve potansiyel olarak söndürmek için bu diski keşfetmeye başlayacaklar ” - Grup -Ib
Genel olarak, komutlar USB çıkarılabilir sürücüler yoluyla yanal hareketi sağlayan basit konsol araçlarını veya karmaşık PowerShell komut dosyalarını başlatabilir.
Kamikakabot, Chrome tabanlı ve Firefox tarayıcılarında depolanan verileri hedefleyen bilgi çalma yetenekleriyle birlikte gelen TelepowerBot'un .NET sürümüdür.
Bu araçlara ek olarak, Dark Pink, her dakika mikrofondan ses kaydetmek için bir komut dosyası kullanır. Veriler, telgraf botuna eklenmeden önce Windows geçici klasöründe bir zip arşivi olarak kaydedilir.
Benzer şekilde, tehdit oyuncusu GitHub'dan indirilen ZMSG adlı özel bir Messenger exfiltration yardımcı programı kullanır. Yardımcı program, Viber, Telegram ve Zalo'dan iletişimi çalar ve bunları “%Temp%\ Kovosrlvmu \” olarak saklar.
Saaiwc Group olarak koyu pembeyi izleyen Çin siber güvenlik şirketi Anheng av laboratuvarlarından önceki bir rapor, bazı saldırı zincirlerini açıklıyor ve bunlardan birinde, aktörün daha eski, yüksek sözlü bir şekilde yararlanmak için kötü niyetli makro kodlu bir Microsoft ofis şablonu kullandığını belirtiyor. Güvenlik açığı CVE-2017-0199 olarak tanımlanır.
Grup-IB, Dark Pink'in yedi saldırıdan sorumlu olduğunu güvenle onaylasa da, araştırmacılar sayının daha yüksek olabileceğini belirtiyor.
Şirket, yedi kuruluşun hepsini tehdit oyuncunun uzlaşma faaliyeti hakkında bilgilendirdi ve Dark Pink'in operasyonlarını izlemeye devam edecek.
Çinli hackerlar devlet kurumlarını ve savunma kuruluşlarını hedef hedef
Dağınık örümcek bilgisayar korsanları, güvenliği atlamak için eski Intel sürücüsünü kullanır
1.300'den fazla sahte anydesk sitesi Vidar Info-Ins-Relinger kötü amaçlı yazılımları itin
StrongPity Hacker'ları Truva Telegram Uygulaması aracılığıyla Android kullanıcılarını hedefleyin
Kötü niyetli PYPI paketleri, güvenlik duvarlarını atlamak için cloudflare tünelleri oluşturur
Kaynak: Bleeping Computer