Een nieuwe APT-groep genaamd Dark Pink heeft zich gericht op militaire en overheidsinstanties in tal van landen in Azië en de Stille Oceaan om waardevolle documentatie te verkrijgen.
Donkerroze APT Group richt zich op leger en overheid
Een hoop Advanced Persistent Threat (APT)-aanvallen bleek tussen juni en december 2022 te zijn gelanceerd door een groep die bekend staat als Dark Pink. De aanvallen werden gelanceerd tegen verschillende landen in de Azië-Pacific, waaronder Cambodja, Vietnam, Maleisië, Indonesië en de Filippijnen. Een Europees land, Bosnië en Herzegovina, was ook het doelwit.
De Dark Pink-aanvallen werden voor het eerst ontdekt door Albert Priego, een malware-analist van Group-IB. In een Groep-IB blogpost over de incidenten, werd gesteld dat de kwaadwillende Dark Pink-operators "gebruik maken van een nieuwe reeks tactieken, technieken en procedures die zelden worden gebruikt door eerder bekende APT-groepen." Om verder in detail te treden, schreef Group-IB over een aangepaste toolkit met vier verschillende infostealers: TelePowerBot, KamiKakaBot, Cucky en Ctealer.
Deze infostealers worden door Dark Pink gebruikt om waardevolle documenten te extraheren die zijn opgeslagen in overheids- en militaire netwerken.
De eerste vector van de aanvallen van Dark Pink zou zijn spear phishing-campagnes, waarbij de operators zich zouden voordoen als sollicitanten. Group-IB merkte ook op dat Dark Pink de mogelijkheid heeft om de USB-apparaten te infecteren die zijn aangesloten op gecompromitteerde computers. Bovendien heeft Dark Pink toegang tot de boodschappers die op de geïnfecteerde computers zijn geïnstalleerd.
Group-IB deelde een infographic over de Dark Pink-aanvallen op zijn Twitter-pagina, zoals hieronder weergegeven.
Terwijl de meeste aanvallen plaatsvonden in Vietnam (waarvan er één niet succesvol was), vonden er in totaal vijf extra aanvallen plaats in andere landen.
De operators van Dark Pink zijn momenteel onbekend
Op het moment van schrijven zijn de operators achter Dark Pink nog onbekend. Groep-IB stelde echter in de bovengenoemde post dat "een mix van nationale dreigingsactoren uit China, Noord-Korea, Iran en Pakistan" zijn in verband gebracht met APT-aanvallen in landen in Azië en de Stille Oceaan. Maar er werd opgemerkt dat Dark Pink al medio 2021 lijkt te zijn ontstaan, met een toename van de activiteit medio 2022.
Group-IB merkte ook op dat het doel van dergelijke aanvallen vaak is om spionage te plegen, in plaats van financieel te profiteren.
De Dark Pink APT Group blijft actief
In zijn blogpost informeerde Group-IB de lezers dat op het moment van schrijven (11 januari 2023) de Dark Pink APT-groep actief blijft. Aangezien de aanvallen pas eind 2022 stopten, onderzoekt Group-IB het probleem nog steeds en bepaalt het de omvang ervan.
Het bedrijf hoopt de exploitanten van deze aanvallen te achterhalen en verklaarde in zijn blogpost dat het voorbereidende onderzoek naar het incident "een lange weg zou moeten gaan naar bewustmaking van de nieuwe TTP's die door deze bedreigingsactor worden gebruikt en organisaties helpen de relevante stappen te nemen om zichzelf te beschermen tegen een potentieel verwoestende APT aanval".
APT-groepen vormen een enorme veiligheidsdreiging
Advanced Persistent Threat (APT)-groepen vormen een enorm risico voor organisaties over de hele wereld. Naarmate cybercriminaliteitsmethoden steeds geavanceerder worden, is het niet bekend wat voor soort aanval APT-groepen vervolgens zullen lanceren en welke gevolgen dit zal hebben voor het doelwit.
