Новости Новая APT-группировка Dark Pink наносит киберудары по азиатским правительственным и военным структурам

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022

В ходе атак хакеры используют набор мощных кастомных инструментов и новых тактик.​


r9rdt0aq820qjvqsfo9cwpspwumg1e3i.jpg


Проводя расследование, Для просмотра ссылки Войди или Зарегистрируйся подчеркнула, что Dark Pink может быть совершенно новой [URL='/glossary/apt/" class="glossary" data-content=" Усовершенствованная постоянная угроза (APT) — это скрытая угроза, за которой обычно стоит национальное государство или спонсируемая государством группа, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода времени. В последнее время этот термин может также относиться к нефинансируемым государством группам, осуществляющим крупномасштабные целевые вторжения для достижения определенных целей.

Мотивы таких субъектов угрозы обычно носят политический или экономический характер.

" data-html="true" data-original-title="APT" >APT[/URL] -группировкой. Свое название банда хакеров получила из-за имен некоторых электронных ящиков, на которые высылались украденные данные. Однако китайские исследователи дали ей другое название – Saaiwc Group.

Аналитики Group-IB раскрыли семь кибератак, за которыми стоит Dark Pink, а после обнаружения GitHub-аккаунта группировки предположили, что злоумышленники вышли на киберпреступную арену еще в середине 2021 года.

Большая часть атак была направлена на Азиатско-Тихоокеанский регион, среди подтвержденных жертв – два военных ведомства на Филиппинах и в Малайзии, правительственные учреждения в Камбодже, Индонезии, Боснии и Герцеговине, а также религиозная организация во Вьетнаме.

В ходе кибератак Dark Pink применяет целый ряд новых тактик и набор из мощных кастомных инструментов: TelePowerBot, KamiKakaBot, Cucky и Ctealer. Эти модули используются для кражи важной информации, которая хранится в сетях правительственных и военных организаций.

Первоначальный доступ к сетям группировка получала с помощью фишинговых писем с вредоносным ISO-образом внутри. В одном из обнаруженных писем хакеры выдавали себя за соискателя, претендующего на должность стажера по связям с общественностью.

Основных методов заражения у группировки всего две:

  • Боковая загрузка DLL;
  • Внесение изменений в реестр значения, определяющий программу, ассоциируемую с открытием файла. Таким образом, когда пользователь пытается открыть нужный документ, это приводит к запуску вредоносной программы, вшитой в заранее созданную копию этого документа.

По словам специалистов, Dark Pink не только крадет информацию, но и заражает USB-устройства, подключенные к взломанным компьютерам, получает доступ к мессенджерам, а также захватывает звук с микрофонов взломанных устройств.
 
Источник новости
www.securitylab.ru

Похожие темы