Endonezya, Brunei ve Vietnam'daki hükümet, askeri ve eğitim örgütlerini hedefleyen 2023'te koyu pembe apt hackleme grubu çok aktif olmaya devam ediyor.
Tehdit grubu, en azından 2021'in ortalarından beri aktiftir, öncelikle Asya-Pasifik bölgesindeki varlıkları hedefler, ancak ilk olarak Ocak 2023'te bir Grup-IB raporu tarafından maruz kalmıştır.
Araştırmacılar, tehdit oyuncusu tarafından önceki faaliyet belirtilerini analiz ettikten sonra, şimdi Belçika'daki bir eğitim enstitüsü ve Tayland'daki bir askeri organa karşı ek ihlaller keşfettiklerini bildirdi.
Grup-IB tarafından önceki maruziyete rağmen, Dark Pink herhangi bir yavaşlama belirtisi göstermedi ve şirket, önceki raporun yayınlanmasının ardından grup tarafından uygulanan en az beş saldırı tespit ettiğini söylüyor.
Son saldırılarda, Dark Pink yenilenmiş bir saldırı zinciri sergiledi, farklı kalıcılık mekanizmaları uyguladı ve yeni veri açığa çıkma araçları kullandı, muhtemelen operasyonlarını halka açık IOC'lerden (uzlaşma göstergeleri) uzaklaştırarak algılamayı atlatmaya çalıştı.
Koyu pembe saldırılar, imza arka fırını, 'Telepowerbot' ve 'Kamikakabot' başlatmak için DLL yan yükleme kullanan ilk enfeksiyon için mızrak aktı yoluyla gönderilen ISO arşivlerine güvenmeye devam ediyor.
Yeni bir unsur, saldırganların artık Kamikakabot'un işlevlerini cihaz kontrolü ve veri hırsızlığı olmak üzere iki bölüme ayırmasıdır.
Ayrıca, implant şimdi bellekten yüklenir, asla diske dokunmaz. Bu, antivirüs araçlarının bellekte başlatılan süreçleri izlemediğinden algılamadan kaçmaya yardımcı olur.
Kamikakabot, web tarayıcılarında depolanan verileri hedeflemeye devam ediyor ve telgrafla saldırganlara gönderiyor. Ayrıca, arka kapı ihlal edilen cihazda keyfi komut dosyalarını indirebilir ve yürütebilir.
Grup-Ib, Dark Pink'in kötü amaçlı yazılımları tarafından güvenliği ihlal edilen sistemlere indirilen ek modülleri barındırmak için özel bir GitHub deposu kullandığını keşfetti.
Tehdit oyuncusu, esas olarak kötü amaçlı yazılım damlaları, PowerShell komut dosyaları, ZMSG Info-Stealer ve Netlua ayrıcalık yükseltme aracı eklemek veya güncellemek için 2023 boyunca bu depoya sadece 12 taahhütte bulundu.
Bu PowerShell komut dosyalarından biri, Dark Pink'in yan hareket stratejisi için kritik öneme sahiptir ve ağ içindeki KOBİ hisselerini tanımlamaya ve etkileşim kurmaya yardımcı olur.
Komut dosyası GitHub'dan bir fermuar arşivi getirir, yerel bir dizine kaydeder ve daha sonra arşivdeki kötü amaçlı yürütülebilir dosyaya bağlı her SMB paylaşımında LNK dosyaları oluşturur.
Bu LNK dosyaları açıldığında, kötü amaçlı yürütülebilir dosyayı başlatırlar, Dark Pink'in ağ üzerindeki yayılmasını ilerletir ve erişimlerini ek sistemlere uzatırlar.
Dark Pink ayrıca, operasyonları için kötüye kullanabilecekleri uzlaşmış cihazda meşru yazılım ve geliştirme araçlarının varlığı için kontrol yapmak için PowerShell komutlarını kullanır.
Bu araçlar arasında 'AcccheckConsole.exe,' 'Remote.exe,' 'extexport.exe,' 'mspub.exe' ve 'msoHtmed.exe' ve proxy yürütme için sömürülebilen, ek yükler indirme ve daha fazlasını içerir.
Bununla birlikte, Grup-IB, gözlemlenen saldırılarda bu araçların kötüye kullanılması örneklerini görmediğini belirtiyor.
Group-Ib, Dark Pink'in artık veri açığa çıkma yönteminde çeşitlilik gösterdiğini ve telgraf kanallarına zip arşivi göndermenin ötesine geçtiğini bildiriyor.
Analistler tarafından görülen bazı durumlarda, saldırganlar dropbox yüklemeleri kullanırken, diğerlerinde "Webhook.site" hizmeti veya Windows sunucuları ile oluşturulan geçici bir son nokta kullanarak HTTP eksfiltrasyonu kullandılar.
Daha önce bahsedilen komut dosyaları, ihlal edilen bilgisayardaki hedef dosyaların konumunu tanımladıktan sonra, PUT yöntemini kullanarak dosyaları harici bir adrese yüklemek için yeni WebClient nesneleri oluşturarak verileri ekleme yeteneğine de sahiptir.
Grup-IB, koyu pembe tehdit aktörlerinin önceki maruziyetlerinden vazgeçmediği ve şimdi durma olasılığı düşüktür.
Büyük olasılıkla, saldırganlar araçlarını güncellemeye ve yöntemlerini mümkün olduğunca çeşitlendirmeye devam edecekler.
Beş yıllık saldırılardan sonra ortaya çıkan gizli merdoor kötü amaçlı yazılım
ESET, Tencent QQ kullanıcıları gizemli kötü amaçlı yazılım saldırısına hacklendi diyor
Goldenjackal State Hacker'ları 2019'dan beri sessizce Govts'a saldırıyor
Bilgisayar korsanları, AB varlıklarına saldırmak için TP-Link yönlendirici ürün yazılımını enfekte
Yeni PowerExchange Kötü Yazılım Backroors Microsoft Exchange Sunucuları
Kaynak: Bleeping Computer