Uus APT grupp nimega Dark Pink on võtnud sihikule paljude Aasia ja Vaikse ookeani piirkonna riikide sõjaväe- ja valitsusorganid, et hankida väärtuslikke dokumente.
Tumeroosa APT Group võtab sihikule sõjaväe ja valitsuse
Hulk arenenud püsiva ohu (APT) rünnakud leiti, et selle käivitas 2022. aasta juunist detsembrini tuntud rühmitus Dark Pink. Rünnakud korraldati mitme Aasia ja Vaikse ookeani piirkonna riigi vastu, sealhulgas Kambodža, Vietnami, Malaisia, Indoneesia ja Filipiinide vastu. Sihikul oli ka üks Euroopa riik Bosnia ja Hertsegoviina.
Tumeroosa rünnakud avastas esmakordselt Group-IB pahavara analüütik Albert Priego. Sees Grupi IB ajaveebi postitus vahejuhtumite kohta, öeldi, et pahatahtlikud Dark Pink operaatorid "kasutavad uut taktikate, tehnikate ja protseduuride komplekti, mida varem tuntud inimesed harva kasutavad. APT rühmad." Täpsemalt kirjutas Group-IB kohandatud tööriistakomplektist, mis sisaldas nelja erinevat infovarastajat: TelePowerBot, KamiKakaBot, Cucky ja Ctealer.
Dark Pink kasutab neid infovarastajaid valitsus- ja sõjaväevõrkudes talletatud väärtuslike dokumentide eraldamiseks.
Väidetavalt oli Dark Pinki rünnakute esialgne vektor oda andmepüügikampaaniad, kus operaatorid esineksid tööotsijatena. Group-IB märkis ka, et Dark Pink on võimeline nakatama ohustatud arvutitega ühendatud USB-seadmeid. Lisaks pääseb Dark Pink juurde nakatunud arvutitesse installitud sõnumitoojatele.
Group-IB jagas oma Twitteri lehel infograafikat Dark Pink rünnakute kohta, nagu allpool näidatud.
Kui suurem osa rünnakutest toimus Vietnamis (üks neist oli ebaõnnestunud), siis kokku viis täiendavat rünnakut toimus ka teistes riikides.
Tumeroosa operaatorid on praegu teadmata
Selle artikli kirjutamise ajal on Dark Pinki taga olevad operaatorid teadmata. Grupp-IB väitis aga eelmainitud postituses, et "segu rahvusriiklikke ohus osalejaid Hiinast, Põhja-Koreast, Iraanist ja Pakistanist" on seotud APT rünnakutega Aasia ja Vaikse ookeani riikides. Kuid märgiti, et näib, et tumeroosa tekkis juba 2021. aasta keskel, aktiivsuse tõus aga 2022. aasta keskel.
Group-IB märkis ka, et selliste rünnakute eesmärk on sageli pigem spionaaži sooritamine kui rahalise kasu saamine.
Tumeroosa APT grupp jääb aktiivseks
Group-IB teavitas oma blogipostituses lugejaid, et selle artikli kirjutamise ajal (11. jaanuar 2023) on Dark Pink APT grupp endiselt aktiivne. Kuna rünnakud lõppesid alles 2022. aasta lõpus, uurib Group-IB endiselt probleemi ja määrab selle ulatuse.
Ettevõte loodab nende rünnakute korraldajad paljastada ja märkis oma ajaveebipostituses, et juhtumi kohta läbi viidud esialgne uuring peaks "väga kaugele minema, et tõsta teadlikkust uutest TTP-dest, mida see ohustaja kasutab, ja aidata organisatsioonidel astuda asjakohaseid samme, et kaitsta end potentsiaalselt laastava APT eest rünnak".
APT grupid kujutavad endast suurt turvaohtu
Arenenud püsivate ohtude (APT) rühmad kujutavad endast tohutut ohtu organisatsioonidele üle kogu maailma. Kuna küberkuritegevuse meetodid muutuvad üha keerukamaks, pole teada, millise rünnaku APT rühmad järgmisena käivitavad ja millised tagajärjed sellel sihtmärgile on.
