Группа Dark Pink APT нацелена на Азиатско-Тихоокеанский регион

Обнаружена ранее неизвестная группа угроз, нацеленная на правительственные и военные организации в Азиатско-Тихоокеанском регионе. Текущая кампания отслеживается под названием Dark Pink.

По данным Group IB, кампания Dark Pink связана с семью успешными атаками в период с июня по декабрь 2022 года.

Группа начала свою деятельность в середине 2021 года, а год спустя в атаках начали использовать специальные инструментарии для кражи важной информации из скомпрометированных сетей. Группа также использовала фишинговые электронные письма для запуска своих атак и Telegram API для связи с C2.

Как работает целевой фишинг?

Предположительно Dark Pink APT посещает доски объявлений о вакансиях, чтобы адаптировать свои сообщения и изображать из себя соискателя, подающего заявку на стажировку в области PR и коммуникаций.

Однако цель состоит в том, чтобы развернуть KamiKakaBot и TelePowerBot, которые могут выполнять команды, отправленные через бот Telegram.

Затем группа использует инструменты Ctealer и Cucky для кражи учетных данных и файлов cookie из веб-браузеров.

Кампания использовала многочисленные цепочки заражения, где первоначальный доступ был получен через фишинговые сообщения, в которых использовалась ссылка на заминированный файл ISO-образа для развертывания вредоносного ПО.

Подтвержденные целевые жертвы

1. Два военных органа на Филиппинах и в Малайзии.
2. Правительственные ведомства в Камбодже, Индонезии и Боснии и Герцеговине.
3. Религиозная организация во Вьетнаме.
4. Была зафиксирована неудачная атака на неназванный европейский государственный орган по развитию из Вьетнама.

Вывод

Кампания Dark Pink использовала тактику целевого фишинга для распространения полностью индивидуального набора инструментов, что свидетельствует о важности и эффективности этого метода угрозы.

Компаниям необходимо дополнительно укрепить свою первую линию защиты, используя интеллектуальные решения для защиты электронной почты, чтобы обнаруживать и размораживать фишинговые электронные письма до того, как они попадут внутрь периметра сети.