Grupo APT lançou sete ataques bem-sucedidos a organizações governamentais

Há um novo ator de Advanced Persistente Threat (APT) a visar organizações governamentais e militares na Ásia e Europa. A empresa de cibersegurança Group-IB indica que o Dark Pink foi observado a lançar sete ataques bem-sucedidos contra alvos de elevada importância desde junho de 2022. Contudo, os especialistas indicam que o grupo parece estar ativo desde meados de 2021. 

Entre junho e dezembro, o grupo APT teve sucessos nas suas ameaças a organizações governamentais e militares, uma religiosa e uma sem fins lucrativos situadas na Bósnia Herzegovina, Camboja, Indonésia, Malásia, Filipinas e Vietname. No mesmo período, o grupo também lançou um ciberataque contra uma agência europeia de desenvolvimento estatal sediada no Vietname.

As táticas, técnicas e procedimentos (TTP) utilizados pelo grupo são “raramente utilizados por grupos APT anteriormente conhecidos”, como a execução de malware desencadeada por uma associação de tipo de ficheiros, além de sideloading DLL. O grupo utiliza scripts PowerShell e infostealers personalizados (Cucky e Ctealer) e trojans (KamiKakaBot e TelePowerBot) que podem infetar unidades USB ligadas à máquina da vítima, e depende da API do Telegram para a comunicação com os dispositivos infetados. 

“Os principais objetivos do APT Dark Pink são realizar espionagem corporativa, roubar documentos, capturar o som dos microfones dos dispositivos infetados e exfiltrar dados de trocas de mensagens”, nota o Group-IB. O grupo utiliza emails de phishing sobre vagas de emprego com links encurtados, levando as vítimas a descarregarem imagens ISO maliciosas, adaptadas à sua vítima, contendo um ‘signed executable’ – apresentado como documento Word com o CV do candidato – um documento armadilha e um ficheiro DDL malicioso. 

Depois de inflitrar o sistema, o grupo começa a recolher informação – dados de sistema, do browser, aplicações instaladas, unidades USB conectadas e partilhas de rede), para se moverem de forma lateral na rede. 

Os cibercriminosos também registam um novo ‘WMI event handler’, para que o malware seja lançado na unidade USB que a vítima conecta ao sistema. Os ficheiros necessários são recolhidos da conta GitHub das vítimas e os ficheiros LNK são colocados na unidade USB. Posteriormente, os dados recolhidos pelo malware são exfiltrados em arquivos ZIP para o bot do Telegram dos atacantes ou através do Dropbox.

Adicionalmente, os criminosos também aproveitam várias técnicas para contornar o User Account Control (UAC) e a modificar as configuração do Windows Defender, e também foi visto a utilizar o módulo Get-MicrophoneAudio do PowerSploit para gravar através do microfone dos dispositivos infetados.