.
Dark Pink, um suposto grupo de ciberespionagem patrocinado por um estado-nação, expandiu sua lista de organizações visadas, tanto geograficamente quanto por setor, e realizou pelo menos dois ataques desde o início do ano.
É o que diz o grupo de segurança Group-IB, com sede em Cingapura, que afirma que o Dark Pink está ativo desde meados de 2021, focado principalmente em vítimas na região da Ásia-Pacífico – mas isso parece estar mudando.
Os pesquisadores do Group-IB dizem que identificaram cinco novas vítimas do Dark Pink desde janeiro de 2023 pesquisar no grupo de ameaças, elevando a lista de vítimas dos criminosos para 13.
As vítimas mais recentes incluem uma organização militar na Tailândia, agências governamentais em Brunei e na Indonésia, uma organização sem fins lucrativos no Vietnã e uma instituição educacional na Bélgica. Isso potencialmente “sugere que o escopo real dos ataques pode ser ainda mais amplo”, disse a equipe de inteligência de ameaças. disse essa semana.
Além disso, dois desses ataques (Brunei e Indonésia) aconteceram este ano, com os arquivos maliciosos mais recentes carregados no VirusTotal sendo detectados em maio. “Isso significa que o grupo não mostra sinais de desaceleração”, acrescentou o Group-IB.
Enquanto a gangue expande suas vítimas-alvo, também está aprimorando seu conjunto de ferramentas para permanecer indetectável nas redes das organizações.
Dark Pink continua a usar imagens ISO enviadas em e-mails de phishing para suas invasões iniciais. Ele também usa carregamento lateral de .DLL para lançar seu malware personalizado TelePowerBot e KamiKakaBot, de acordo com os pesquisadores de segurança. Ambos os malwares do Windows usam o serviço de mensagens criptografadas Telegram para se comunicar com seus senhores.
De acordo com o Group-IB, o malware parece projetado para roubar arquivos confidenciais de redes governamentais e militares e pode “infectar até mesmo os dispositivos USB conectados a computadores comprometidos”. O código malicioso também pode chegar a aplicativos de mensagens em PCs infectados.
Dark Pink parece ter atualizado o KamiKakaBot dividindo sua funcionalidade em duas partes: controlar dispositivos e roubar dados. O malware carrega diretamente na memória, o que ajuda a evitar a detecção. E pode receber e executar comandos dos invasores para fazer coisas como roubar dados de navegadores da web, atualizar arquivos XML, atualizar tokens do Telegram, enviar identificadores de bot/vítima e baixar e executar um script arbitrário.
O processo de coleta de dados, no entanto, não mudou. Por um lado, o malware compila uma lista de arquivos que pode obter de navegadores da web instalados. Em seguida, ele copia os arquivos para uma pasta designada antes de criar um arquivo .zip. O Group-IB observa que, com o Google Chrome e o Microsoft Edge, a chave para descriptografar logins e senhas criptografados também é extraída e adicionada ao arquivo. Presumivelmente, esse arquivo é exfiltrado. Isso tudo entrega detalhes de login úteis para os espiões cibernéticos explorarem ainda mais.
Nova conta do GitHub e ferramentas para roubo de dados
Embora a análise anterior da loja de segurança tenha encontrado apenas uma conta do GitHub usada durante todos os ataques do Dark Pink, a pesquisa mais recente detectou uma nova conta com o primeiro commit datado de 9 de janeiro.
O repositório é privado e “o que torna a mudança digna de nota é que o repositório foi desativado quando as URLs que apontavam para arquivos dentro dos repositórios estavam sendo carregadas no VirusTotal”, disse o Group-IB.
Entre 9 de janeiro e 11 de abril, Dark Pink realizou apenas 12 commits para adicionar scripts Powershell; arquivos .zip; e um ladrão de informações personalizado chamado ZMsg, que rouba informações do mensageiro instantâneo de Zalo. Outro envolveu uma ferramenta chamada Netlua que eleva privilégios e inicia comandos do Powershell.
O arquivo .zip analisado pelo Group-IB continha uma carga útil criptografada, um executável assinado e um carregador.
Dark Pink também parece ter desenvolvido novos métodos para roubar dados em vez de usar e-mail ou Dropbox como de costume. Em um de seus ataques recentes, os criminosos usaram o Webhook, o que lhes permitiu configurar terminais temporários e exfiltrar os dados roubados por HTTP.
Em outro ataque, os malfeitores substituíram o Webhook por um servidor Windows, embora “o motivo por trás dessa mudança permaneça incerto”, de acordo com os pesquisadores do Group-IB.
Os ciberdetetives de Cingapura avaliam que Dark Pink “representa um risco contínuo para as organizações e acrescentam que sua pesquisa mostra que “os cibercriminosos por trás desses ataques continuam atualizando suas ferramentas existentes para permanecerem indetectáveis”.
.
