O grupo de hackers Dark Pink APT continua muito ativo em 2023, tendo como alvo organizações governamentais, militares e educacionais na Indonésia, Brunei e Vietnã.
O grupo de ameaças está ativo desde pelo menos meados de 2021, principalmente visando entidades na região Ásia-Pacífico, mas foi exposto pela primeira vez em janeiro de 2023 em um relatório da Group-IB.
Os pesquisadores relatam que, após analisar sinais de atividade anterior do ator ameaçador, agora descobriram violações adicionais contra um instituto educacional na Bélgica e um corpo militar na Tailândia.
Apesar da exposição anterior da Group-IB, o Dark Pink não mostrou sinais de desaceleração, e a empresa afirma ter identificado pelo menos cinco ataques perpetrados pelo grupo após a publicação do relatório anterior.
Nos ataques recentes, o Dark Pink mostrou uma cadeia de ataque renovada, implementou diferentes mecanismos de persistência e implantou novas ferramentas de exfiltração de dados, provavelmente tentando evitar a detecção distanciando suas operações dos IoCs (indicadores de comprometimento) disponíveis publicamente.
Os ataques do Dark Pink continuam a depender de arquivos ISO enviados por spear-phishing para infecção inicial, que emprega DLL side-loading para lançar seus backdoors de assinatura, 'TelePowerBot' e 'KamiKakaBot'.
Um novo elemento é que os atacantes agora dividiram as funcionalidades do KamiKakaBot em duas partes, ou seja, controle de dispositivo e roubo de dados.
Além disso, o implante agora é carregado da memória, sem tocar no disco, o que ajuda a evitar a detecção, já que as ferramentas antivírus não monitoram processos que iniciam na memória.
O KamiKakaBot continua a visar dados armazenados em navegadores da web e os envia para os atacantes via Telegram.
Além disso, o backdoor pode baixar e executar scripts arbitrários no dispositivo comprometido.
A Group-IB descobriu que o Dark Pink usa um repositório privado do GitHub para hospedar módulos adicionais baixados por seu malware em sistemas comprometidos.
Os atores ameaçadores realizaram apenas 12 commits nesse repositório ao longo de 2023, principalmente para adicionar ou atualizar droppers de malware, scripts PowerShell, o info-stealer ZMsg e a ferramenta de escalonamento de privilégios Netlua.
Um desses scripts PowerShell é crítico para a estratégia de movimento lateral do Dark Pink, ajudando a identificar e interagir com compartilhamentos SMB dentro da rede.
O script busca um arquivo ZIP no GitHub, o salva em um diretório local e, em seguida, cria arquivos LNK em cada compartilhamento SMB vinculado ao executável malicioso no arquivo.
Quando esses arquivos LNK são abertos, eles lançam o executável malicioso, avançando a propagação do Dark Pink pela rede e estendendo seu alcance para sistemas adicionais.
O Dark Pink também usa comandos PowerShell para realizar verificações da presença de software legítimo e ferramentas de desenvolvimento no dispositivo comprometido que eles podem abusar para suas operações.
Essas ferramentas incluem 'AccCheckConsole.exe', 'remote.exe', 'Extexport.exe', 'MSPUB.exe' e 'MSOHTMED.exe', que podem ser exploradas para execução de proxy, download de payloads adicionais e outros.
No entanto, a Group-IB observa que não viu exemplos de abuso dessas ferramentas nos ataques observados.
A Group-IB conclui que os atores ameaçadores do Dark Pink não são desencorajados por sua exposição anterior e é improvável que parem agora.
Provavelmente, os atacantes continuarão a atualizar suas ferramentas e diversificar seus métodos o máximo possível.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...