Хакерська група «Dark Pink» націлена на уряд і військових у Південно-Східній Азії

Компанія, що надає послуги з кібербезпеки, Group-IB Global Pvt. Ltd.  сьогодні опублікувала звіт про нову передову постійну кампанію загроз, націлену на країни Південно-Східної Азії та Східної Європи з очевидною шпигунською метою. Вважається, що APT під назвою «Темно-рожевий» є новою загрозою. Встановлено, що Dark Pink націлений на військові структури, державні міністерства та агенції, релігійні та некомерційні організації в Камбоджі, Індонезії, Малайзії, Філіппінах, В’єтнамі та Боснії та Герцеговині.

Дослідники Group-IB Threat Intelligence пов’язали сім успішних атак з групою, а також одну невдалу атаку на європейський державний орган розвитку, що базується у В’єтнамі.

Dark Pink використовує фішингові електронні листи, щоб націлити жертв на корпоративне шпигунство за допомогою майже повністю спеціального інструментарію. Інструменти групи намагаються викрасти файли, аудіо з мікрофона та дані месенджерів із заражених пристроїв і мереж.

На сьогодні дослідники не змогли віднести цю кампанію, яка використовує спеціальні інструменти та деякі рідко використовувані тактики та прийоми, до жодного відомого суб’єкта загрози. У результаті Group-IB вважає, що кампанія Dark Pink у другій половині 2022 року є діяльністю абсолютно нової групи, яку китайські дослідники кібербезпеки також назвали Saaiwc Group.

Хоча дослідники Group-IB не змогли визначити причину кампанії, ознаки вказують на суб’єкта, який спонсорується державою, враховуючи, що об’єктами нападу є військові підрозділи, урядові міністерства та відповідні агенції. Успішні атаки Dark Pink включають підрозділ збройних сил Філіппін у вересні, військовий підрозділ Малайзії в жовтні та урядові організації в Боснії та Герцеговині та Камбоджі.

Поряд зі спеціальним набором інструментів Dark Pink видає команди зараженим комп’ютерам для завантаження шкідливих файлів із GitHub. Дослідники відзначають, що дивно, але зловмисники використовували той самий обліковий запис GitHub протягом усього періоду своєї кампанії, що вважається ознакою того, що вони могли працювати без виявлення протягом значного періоду часу.

Однак у фішинговій кампанії групи немає нічого нового: підроблені заявки на роботу. Дослідники виявили, що група видавала себе за шукача роботи, який претендує на посаду стажера зі зв’язків з громадськістю та комунікацій, згадуючи, що вони знайшли вакансію на сайті для пошуку роботи. Фішингові електронні листи містять посилання на сайт, який спонукає жертву завантажити шкідливий файл DLL.

Group-IB оприлюднила подробиці відповідно до своєї політики абсолютної нетерпимості до кіберзлочинності, яка включає проактивні повідомлення всім потенційним і підтвердженим цілям Dark Pink. Дослідники Group-IB продовжують розкривати та аналізувати всі деталі цієї конкретної кампанії APT.