News
O grupo Dark Pink, ativo desde meados de 2021, visa organizações na Ásia e Europa
14/01/2023
Há um novo ator de Advanced Persistente Threat (APT) a visar organizações governamentais e militares na Ásia e Europa. A empresa de cibersegurança Group-IB indica que o Dark Pink foi observado a lançar sete ataques bem-sucedidos contra alvos de elevada importância desde junho de 2022. Contudo, os especialistas indicam que o grupo parece estar ativo desde meados de 2021. Entre junho e dezembro, o grupo APT teve sucessos nas suas ameaças a organizações governamentais e militares, uma religiosa e uma sem fins lucrativos situadas na Bósnia Herzegovina, Camboja, Indonésia, Malásia, Filipinas e Vietname. No mesmo período, o grupo também lançou um ciberataque contra uma agência europeia de desenvolvimento estatal sediada no Vietname. As táticas, técnicas e procedimentos (TTP) utilizados pelo grupo são “raramente utilizados por grupos APT anteriormente conhecidos”, como a execução de malware desencadeada por uma associação de tipo de ficheiros, além de sideloading DLL. O grupo utiliza scripts PowerShell e infostealers personalizados (Cucky e Ctealer) e trojans (KamiKakaBot e TelePowerBot) que podem infetar unidades USB ligadas à máquina da vítima, e depende da API do Telegram para a comunicação com os dispositivos infetados. “Os principais objetivos do APT Dark Pink são realizar espionagem corporativa, roubar documentos, capturar o som dos microfones dos dispositivos infetados e exfiltrar dados de trocas de mensagens”, nota o Group-IB. O grupo utiliza emails de phishing sobre vagas de emprego com links encurtados, levando as vítimas a descarregarem imagens ISO maliciosas, adaptadas à sua vítima, contendo um ‘signed executable’ – apresentado como documento Word com o CV do candidato – um documento armadilha e um ficheiro DDL malicioso. Depois de inflitrar o sistema, o grupo começa a recolher informação – dados de sistema, do browser, aplicações instaladas, unidades USB conectadas e partilhas de rede), para se moverem de forma lateral na rede. Os cibercriminosos também registam um novo ‘WMI event handler’, para que o malware seja lançado na unidade USB que a vítima conecta ao sistema. Os ficheiros necessários são recolhidos da conta GitHub das vítimas e os ficheiros LNK são colocados na unidade USB. Posteriormente, os dados recolhidos pelo malware são exfiltrados em arquivos ZIP para o bot do Telegram dos atacantes ou através do Dropbox. Adicionalmente, os criminosos também aproveitam várias técnicas para contornar o User Account Control (UAC) e a modificar as configuração do Windows Defender, e também foi visto a utilizar o módulo Get-MicrophoneAudio do PowerSploit para gravar através do microfone dos dispositivos infetados. |