Le organizzazioni governative e militari della regione Asia-Pacifico sono prese di mira da un attore di minacce persistenti avanzate (APT) precedentemente sconosciuto, secondo l’ultima ricerca condotta da Albert Priego di Group-IB.
La maggior parte degli attacchi ha colpito organismi militari, ministeri e agenzie governative, organizzazioni religiose e no-profit in Cambogia, Indonesia, Malesia, Filippine, Vietnam e Bosnia-Erzegovina, mentre un’intrusione non riuscita è stata segnalata contro un organismo di sviluppo statale europeo senza nome con sede in Vietnam.
Si stima che l’attore della minaccia abbia iniziato le sue operazioni a metà del 2021, anche se gli attacchi si sono intensificati solo un anno dopo, utilizzando un toolkit personalizzato mai visto prima, progettato per saccheggiare informazioni preziose dalle reti compromesse.
“Gli obiettivi principali di Dark Pink APT sono lo spionaggio aziendale, il furto di documenti, la cattura dei suoni dai microfoni dei dispositivi infetti e l’esfiltrazione di dati dai messenger” Oltre al suo sofisticato arsenale di malware, il gruppo è stato osservato sfruttare le e-mail di spear-phishing per iniziare i suoi attacchi e le API di Telegram per le comunicazioni di comando e controllo (C2).
È inoltre degno di nota l’uso di un singolo account GitHub per ospitare moduli dannosi, attivo dal maggio 2021, il che suggerisce che Dark Pink è stato in grado di operare senza essere individuato per oltre un anno e mezzo.
La campagna Dark Pink si distingue inoltre per l’impiego di catene di infezione multiple, in cui i messaggi di phishing contengono un link a un file immagine ISO con trappola esplosiva per attivare il processo di distribuzione del malware. In un caso, l’avversario si è spacciato per un candidato che si candidava a uno stage di pubbliche relazioni.
Si sospetta inoltre che la banda di hacker possa pescare nelle bacheche di annunci di lavoro per adattare i propri messaggi e aumentare le probabilità di successo dei propri attacchi di social engineering.
L’obiettivo finale è distribuire TelePowerBot e KamiKakaBot, che sono in grado di eseguire i comandi inviati tramite un bot Telegram controllato da un attore, oltre a utilizzare strumenti su misura come Ctealer e Cucky per trafugare credenziali e cookie dai browser web.
Mentre Ctealer è scritto in C/C++, Cucky è un programma .NET. Un altro malware personalizzato è ZMsg, un’applicazione basata su .NET che consente a Dark Pink di raccogliere i messaggi inviati tramite app di messaggistica come Telegram, Viver e Zalo.
Una catena di uccisione alternativa identificata da Group-IB utilizza un documento esca incluso nel file ISO per recuperare un modello rogue macro-enabled da GitHub, che a sua volta ospita TelePowerBot, un malware con script PowerShell.
Non è tutto. Un terzo metodo individuato di recente, nel dicembre 2022, vede il lancio di KamiKakaBot, una versione .NET di TelePowerBot, con l’aiuto di un file XML contenente un progetto MSBuild che si trova alla fine di un documento Word in visualizzazione criptata. Il file Word è presente in un’immagine ISO inviata alla vittima in un’e-mail di spear-phishing.
“Gli attori delle minacce dietro questa ondata di attacchi sono stati in grado di creare i loro strumenti in diversi linguaggi di programmazione, dando loro flessibilità nel tentativo di violare l’infrastruttura di difesa e di ottenere la persistenza nelle reti delle vittime”, ha spiegato Polovinkin.
Una compromissione riuscita è seguita da attività di ricognizione, movimento laterale ed esfiltrazione dei dati; in alcuni casi l’attore utilizza anche Dropbox e la posta elettronica per trasmettere i file di interesse. Il malware, oltre a registrare l’audio del microfono tramite lo strumento Windows Steps Recorder, ha il compito di scattare screenshot e infettare i dischi USB collegati per propagare TelePowerBot.
