新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

admin 2023年1月12日08:20:27评论112 views字数 2003阅读6分40秒阅读模式

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

针对亚太地区多个国家的政府机构和军事机构的攻击被归因于似乎是一种新的高级威胁行为者,它利用自定义恶意软件窃取机密信息。

安全研究人员将这个组织称为 Dark Pink或 Saaiwc Group,并指出它采用了不常见的策略、技术和程序 (TTP)。

在攻击中观察到的自定义工具包可用于窃取信息并通过 USB 驱动器传播恶意软件。攻击者使用 DLL 侧面加载和事件触发的执行方法在受感染的系统上运行其有效负载。

网络安全公司 Group-IB 发布的一份报告称,威胁行为者的目标是从受害者的浏览器中窃取信息、访问 Messenger、窃取文件并从受感染的设备麦克风中捕获音频。

Dark Pink 被认为是一种高级持续性威胁 (APT),在 2022 年 6 月至 2022 年 12 月期间至少发起了七次成功攻击。

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

Dark Pink 的典型初始攻击向量是伪装成求职申请的鱼叉式网络钓鱼电子邮件,它诱使受害者下载恶意 ISO 映像文件

除了这一步,Group-IB 还发现了攻击链中的多种变体。

其中之一使用包含诱饵文档、签名可执行文件和恶意 DLL 文件的全包 ISO 文件,这导致通过 DLL 侧加载部署该组织使用的两个自定义信息窃取程序之一(Ctealer 或 Cucky) 。

在下一阶段,将删除名为 TelePowerBot 的注册表植入程序。

另一个攻击链使用 ISO 文件中的 Microsoft Office 文档 (.DOC)。当受害者打开文件时,会从 GitHub 获取带有恶意宏的模板,其任务是加载 TelePowerBot 并执行 Windows 注册表更改。

2022 年 12 月观察到的第三条攻击链与第一条相同。然而,恶意 ISO 文件和 DLL 侧加载技术并没有加载 TelePowerBot,而是加载了另一种自定义恶意软件,研究人员将其称为 KamiKakaBot,旨在读取和执行命令。

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

Cucky 和 Ctealer 是分别用 .NET 和 C++ 编写的自定义信息窃取程序。两者都试图从一长串网络浏览器中定位和提取密码、浏览历史记录、保存的登录信息和 cookie:Chrome、Microsoft Edge、CocCoc、Chromium、Brave、Atom、Uran、Sputnik、Slimjet、Epic Privacy、Amigo、Vivaldi、 Kometa、Nichrome、Maxthon、Comodo Dragon、Avast Secure Browser 和 Yandex 浏览器。

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

TelePowerBot 是一种注册表植入程序,它在系统启动时通过脚本启动,并连接到 Telegram 频道,从那里接收要执行的 PowerShell 命令。

在感染期间,威胁行为者会执行几个标准命令(例如 net share、Get-SmbShare)来确定哪些网络资源连接到受感染的设备。如果发现网络磁盘使用情况,他们将开始探索此磁盘以查找他们可能感兴趣的文件并可能泄露它们” - Group-IB

通常,这些命令可以启动简单的控制台工具或复杂的 PowerShell 脚本,从而通过 USB 可移动驱动器实现横向移动。

KamiKakaBot 是 TelePowerBot 的 .NET 版本,它还具有信息窃取功能,目标是存储在基于 Chrome 和 Firefox 浏览器中的数据。

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

除了这些工具,Dark Pink 还使用了一个脚本,每分钟通过麦克风记录声音。在数据被泄露到 Telegram 机器人之前,数据以 ZIP 存档的形式保存在 Windows 临时文件夹中。

同样,攻击者使用一个名为 ZMsg 的特殊信使渗漏实用程序,该实用程序是从 GitHub 下载的。

该实用程序从 Viber、Telegram 和 Zalo 窃取通信并将它们存储在“%TEMP%KoVosRLvmU”中,直到它们被泄露。

中国网络安全公司安恒之前的一份报告描述了一些攻击链,并指出其中一个攻击者使用带有恶意宏代码的 Microsoft Office 模板来利用较旧的高严重性漏洞标识为 CVE-2017-0199

尽管 Group-IB 高度自信地证实 Dark Pink 是七次攻击的罪魁祸首,但研究人员指出,实际数字可能更高。

该公司已将威胁行为者的妥协活动通知所有七个组织,并将继续跟踪 Dark Pink 的行动。

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

APT 组织来来去去,但 Group-IB 对 Dark Pink APT 的研究的初步结果表明,威胁行为者如何改变路线、利用新的 TTP 并取得毁灭性的结果。

Dark Pink 背后的威胁行为者在其定制工具包的帮助下,能够突破亚太地区和欧洲地区多个国家的政府和军事机构的防御。

Dark Pink 的活动再次强调了鱼叉式网络钓鱼活动对组织构成的巨大危险,因为即使是非常高级的威胁行为者也会使用此向量来访问网络,我们建议组织继续教育其员工如何检测此类攻击电子邮件。

报告全文链接:https://blog.group-ib.com/dark-pink-apt

原文始发于微信公众号(网络研究院):新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月12日08:20:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新的Dark Pink APT组织使用自定义恶意软件瞄准政府和军方https://cn-sec.com/archives/1514872.html

发表评论

匿名网友 填写信息