Estás leyendo la publicación: El grupo de hackers Dark Pink apunta a militares y militares Organizaciones gubernamentales
Los investigadores de seguridad del Grupo IB analizaron ataques recientes y descubrieron que el grupo de piratería Dark Pink APT continúa activo en 2023 y ha estado apuntando a organizaciones militares, gubernamentales y educativas en Brunei, Vietnam e Indonesia.
Bueno, en los ataques recientes, el grupo de amenazas mostró una cadena de ataque renovada, ejecutó diferentes métodos persistentes e implementó nuevas herramientas de exfiltración, muy probablemente para evitar la detección al separar su actividad de los indicadores de compromiso disponibles públicamente.
Los investigadores mencionan esto después de analizar la campaña anterior del grupo de hackers. Los investigadores encontraron violaciones adicionales contra una institución educativa en Bélgica y un espacio militar en Tailandia.
Dark Pink APT es un grupo de piratas informáticos que realiza principalmente campañas en agencias militares y gubernamentales en las regiones de Asia Pacífico y ha estado activo desde mediados de 2021. Fue desenmascarado por primera vez en enero de 2023 por un informe del Grupo IB.
Bueno, incluso con los actores de amenazas expuestos anteriormente por Group iB, el grupo de piratas informáticos no se ha desacelerado en absoluto y, según la empresa, ha detectado al menos cinco ataques llevados a cabo por el grupo Dark Pink APT después de escribir el informe anterior. .
Leer: Explotación del complemento de WordPress: ataques masivos dirigidos a un hermoso banner de consentimiento de cookies
Los ataques Dark Pink continúan dependiendo de los archivos ISO enviados a través del phishing para la infección inicial, que utiliza la carga lateral de DLL para iniciar su puerta trasera característica, es decir, Tele PowerBot y KamiKakaBot.
El nuevo componente es que los atacantes han dividido el proceso KamiKakaBot en dos partes, es decir, robo de datos y control del dispositivo. Además, está cargado de memoria, interminable el escritorio. Ayuda a evitar la detección ya que el software antivirus no vigila los métodos que se inician en la memoria.
La puerta trasera KamiKakaBot todavía apunta a los datos almacenados en los navegadores web y se los envía a los actores de amenazas a través de Telegram. Además de esto, la puerta trasera también puede descargar y ejecutar scripts arbitrarios en el dispositivo comprometido.
La empresa de seguridad descubrió que Dark Pink utiliza un repositorio privado de GitHub para alojar módulos adicionales descargados por el malware malicioso en los dispositivos infectados.
Los piratas informáticos llevaron a cabo solo 12 confirmaciones en el repositorio a lo largo de 2023, principalmente para agregar o actualizar los scripts de PowerShell de malware, el ladrón de información ZMsg, los droppers de malware y la herramienta de escalada de privilegios Nethua.
Uno de los scripts de PowerShell es Censorious por la estrategia de movimiento de materiales del malware, y ayuda a identificar e interactuar con recursos compartidos de SMB dentro de la red. El script obtiene el archivo ZIP de GitHub, lo guarda en el directorio local y luego crea un archivo LNK en cada recurso compartido SMB vinculado a los ejecutables en el archivo.
Cuando la víctima abre el archivo LNK, el archivo LNK lanza los ejecutables maliciosos, reenviando la multiplicación del grupo de hackers por toda la red y ampliando su alcance a más sistemas.
Dark Pink utiliza comandos de PowerShell para realizar comprobaciones de la presencia de software auténtico y herramientas de implementación en el sistema infectado que puedan explotar para sus operaciones.
Las herramientas incluyen “AceCheckConsole.exe, exe remoto, Extexport.exe, MSPUB.exe y MSOHTMED.exe”, que pueden utilizarse para la ejecución de proxy, descargar cargas útiles adicionales y más. Sin embargo, la empresa no ha visto ejemplos de que estas herramientas hayan sido explotadas en ataques.
La empresa Group IB informó que el grupo de hackers mostró variaciones en su proceso de exfiltración de datos y está yendo más allá del archivo ZIP a los canales de Telegram.
Además, en algunos escenarios, los piratas informáticos utilizaron cargas de DropBox y, en otros, el grupo utilizó la exfiltración HTTP utilizando un exploit temporal creado dentro del servicio Webbook.site o servidores de Windows.
Además, los scripts también tienen la capacidad de filtrar datos mediante la creación de nuevos objetos WebClients para cargar archivos a una dirección externa mediante el proceso PUT después de determinar la ubicación de los archivos de destino en el sistema infectado.
Leer: CISA advierte sobre un fallo de seguridad en los dispositivos Samsung que permite omitir Android ASLR