Jauna APT grupa ar nosaukumu Dark Pink ir vērsta uz militārām un valdības struktūrām daudzās Āzijas un Klusā okeāna valstīs, lai iegūtu vērtīgu dokumentāciju.
Tumši rozā APT grupai ir mērķis un militārpersonas un valdība
Daudzas no uzlaboti pastāvīgo draudu (APT) uzbrukumi tika atklāts, ka to uzsāka grupa, kas pazīstama kā Dark Pink no 2022. gada jūnija līdz decembrim. Uzbrukumi tika sākti pret vairākām Āzijas un Klusā okeāna valstīm, tostarp Kambodžu, Vjetnamu, Malaiziju, Indonēziju un Filipīnām. Mērķis bija arī vienai Eiropas valstij - Bosnijai un Hercegovinai.
Tumši rozā uzbrukumus pirmais atklāja IB grupas ļaunprogrammatūras analītiķis Alberts Priego. Iekšā Grupas IB emuāra ieraksts par incidentiem, tika norādīts, ka ļaunprātīgie Dark Pink operatori "izmanto jaunu taktiku, paņēmienu un procedūru kopumu, ko reti izmanto iepriekš zināmi APT grupas." Iedziļinoties sīkāk, Group-IB rakstīja par pielāgotu rīku komplektu, kurā ir iekļauti četri dažādi informācijas zagļi: TelePowerBot, KamiKakaBot, Cucky un Ctealer.
Dark Pink izmanto šos informācijas zagļus, lai iegūtu vērtīgus dokumentus, kas glabājas valdības un militārajos tīklos.
Tika teikts, ka sākotnējais Dark Pink uzbrukumu vektors bija šķēpu pikšķerēšanas kampaņas, kur operatori uzdodas par darba pretendentiem. Group-IB arī atzīmēja, ka Dark Pink ir iespēja inficēt USB ierīces, kas savienotas ar apdraudētiem datoriem. Turklāt Dark Pink var piekļūt inficētajos datoros instalētajiem kurjeriem.
Group-IB savā Twitter lapā kopīgoja infografiku par Dark Pink uzbrukumiem, kā parādīts zemāk.
Lai gan lielākā daļa uzbrukumu notika Vjetnamā (viens bija neveiksmīgs), kopumā pieci papildu uzbrukumi notika arī citās valstīs.
Dark Pink operatori pašlaik nav zināmi
Rakstīšanas laikā Dark Pink operatori joprojām nav zināmi. Tomēr IB grupa iepriekš minētajā ziņojumā norādīja, ka "nacionālas valsts apdraudējuma dalībnieku sajaukums no Ķīnas, Ziemeļkorejas, Irānas un Pakistānas" ir saistīti ar APT uzbrukumiem Āzijas un Klusā okeāna valstīs. Taču tika atzīmēts, ka šķiet, ka tumši rozā krāsa parādījās jau 2021. gada vidū, bet aktivitātes pieaugums bija vērojams 2022. gada vidū.
Group-IB arī atzīmēja, ka šādu uzbrukumu mērķis bieži ir spiegošana, nevis finansiāla labuma gūšana.
Tumši rozā APT grupa joprojām ir aktīva
Savā emuāra ierakstā Group-IB informēja lasītājus, ka rakstīšanas laikā (2023. gada 11. janvārī) grupa Dark Pink APT joprojām ir aktīva. Tā kā uzbrukumi beidzās tikai 2022. gada beigās, Group-IB joprojām izmeklē šo problēmu un nosaka tā apjomu.
Uzņēmums cer atklāt šo uzbrukumu operatorus un savā emuāra ierakstā norādīja, ka provizoriskiem pētījumiem, kas veikti par incidentu, vajadzētu "jāiet tālu, lai palielināt izpratni par jaunajiem TTP, ko izmanto šis apdraudējuma dalībnieks, un palīdzēt organizācijām veikt attiecīgos pasākumus, lai pasargātu sevi no potenciāli postošas APT uzbrukums".
APT grupas rada milzīgus draudus drošībai
Uzlabotās pastāvīgo draudu (APT) grupas rada milzīgu risku organizācijām visā pasaulē. Tā kā kibernoziedzības metodes turpina attīstīties, nav zināms, kāda veida uzbrukumu APT grupas veiks nākamās un kādas sekas tas atstās uz mērķi.