Новости Новая APT-группировка Dark Pink наносит киберудары по азиатским правительственным и военным структурам

[Пригоршня]

​

Проводя расследование, Group-IB подчеркнула, что Dark Pink может быть совершенно новой APT-группировкой. Свое название банда хакеров получила из-за имен некоторых электронных ящиков, на которые высылались украденные данные. Однако китайские исследователи дали ей другое название – Saaiwc Group.

Аналитики Group-IB раскрыли семь кибератак, за которыми стоит Dark Pink, а после обнаружения GitHub-аккаунта группировки предположили, что злоумышленники вышли на киберпреступную арену еще в середине 2021 года.

Большая часть атак была направлена на Азиатско-Тихоокеанский регион, среди подтвержденных жертв – два военных ведомства на Филиппинах и в Малайзии, правительственные учреждения в Камбодже, Индонезии, Боснии и Герцеговине, а также религиозная организация во Вьетнаме.

В ходе кибератак Dark Pink применяет целый ряд новых тактик и набор из мощных кастомных инструментов: TelePowerBot, KamiKakaBot, Cucky и Ctealer. Эти модули используются для кражи важной информации, которая хранится в сетях правительственных и военных организаций.

Первоначальный доступ к сетям группировка получала с помощью фишинговых писем с вредоносным ISO-образом внутри. В одном из обнаруженных писем хакеры выдавали себя за соискателя, претендующего на должность стажера по связям с общественностью.

Основных методов заражения у группировки всего две:

• Боковая загрузка DLL;
• Внесение изменений в реестр значения, определяющий программу, ассоциируемую с открытием файла. Таким образом, когда пользователь пытается открыть нужный документ, это приводит к запуску вредоносной программы, вшитой в заранее созданную копию этого документа.

По словам специалистов, Dark Pink не только крадет информацию, но и заражает USB-устройства, подключенные к взломанным компьютерам, получает доступ к мессенджерам, а также захватывает звук с микрофонов взломанных устройств.