News

Grupo APT lançou sete ataques bem-sucedidos a organizações governamentais

O grupo Dark Pink, ativo desde meados de 2021, visa organizações na Ásia e Europa

14/01/2023

Grupo APT lançou sete ataques bem-sucedidos a organizações governamentais

Há um novo ator de Advanced Persistente Threat (APT) a visar organizações governamentais e militares na Ásia e Europa. A empresa de cibersegurança Group-IB indica que o Dark Pink foi observado a lançar sete ataques bem-sucedidos contra alvos de elevada importância desde junho de 2022. Contudo, os especialistas indicam que o grupo parece estar ativo desde meados de 2021. 

Entre junho e dezembro, o grupo APT teve sucessos nas suas ameaças a organizações governamentais e militares, uma religiosa e uma sem fins lucrativos situadas na Bósnia Herzegovina, Camboja, Indonésia, Malásia, Filipinas e Vietname. No mesmo período, o grupo também lançou um ciberataque contra uma agência europeia de desenvolvimento estatal sediada no Vietname.

As táticas, técnicas e procedimentos (TTP) utilizados pelo grupo são “raramente utilizados por grupos APT anteriormente conhecidos”, como a execução de malware desencadeada por uma associação de tipo de ficheiros, além de sideloading DLL. O grupo utiliza scripts PowerShell e infostealers personalizados (Cucky e Ctealer) e trojans (KamiKakaBot e TelePowerBot) que podem infetar unidades USB ligadas à máquina da vítima, e depende da API do Telegram para a comunicação com os dispositivos infetados. 

Os principais objetivos do APT Dark Pink são realizar espionagem corporativa, roubar documentos, capturar o som dos microfones dos dispositivos infetados e exfiltrar dados de trocas de mensagens”, nota o Group-IB. O grupo utiliza emails de phishing sobre vagas de emprego com links encurtados, levando as vítimas a descarregarem imagens ISO maliciosas, adaptadas à sua vítima, contendo um ‘signed executable’ – apresentado como documento Word com o CV do candidato – um documento armadilha e um ficheiro DDL malicioso. 

Depois de inflitrar o sistema, o grupo começa a recolher informação – dados de sistema, do browser, aplicações instaladas, unidades USB conectadas e partilhas de rede), para se moverem de forma lateral na rede. 

Os cibercriminosos também registam um novo ‘WMI event handler’, para que o malware seja lançado na unidade USB que a vítima conecta ao sistema. Os ficheiros necessários são recolhidos da conta GitHub das vítimas e os ficheiros LNK são colocados na unidade USB. Posteriormente, os dados recolhidos pelo malware são exfiltrados em arquivos ZIP para o bot do Telegram dos atacantes ou através do Dropbox.

Adicionalmente, os criminosos também aproveitam várias técnicas para contornar o User Account Control (UAC) e a modificar as configuração do Windows Defender, e também foi visto a utilizar o módulo Get-MicrophoneAudio do PowerSploit para gravar através do microfone dos dispositivos infetados. 


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº10 Fevereiro 2023

IT SECURITY Nº10 Fevereiro 2023

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.