El actor de amenazas conocido como Rosa oscuro se ha relacionado con cinco nuevos ataques dirigidos a varias entidades en Bélgica, Brunei, Indonesia, Tailandia y Vietnam entre febrero de 2022 y abril de 2023.
Esto incluye entidades educativas, agencias gubernamentales, cuerpos militares y organizaciones sin fines de lucro, lo que indica el enfoque continuo de la tripulación adversaria en objetivos de alto valor.
Dark Pink, también llamado Saaiwc Group, es un actor de amenazas persistentes avanzadas (APT) que se cree que tiene su origen en Asia-Pacífico, con ataques dirigidos a entidades ubicadas principalmente en el este de Asia y, en menor medida, en Europa.
El grupo emplea un conjunto de herramientas de malware personalizadas, como TelePowerBot y KamiKakaBot, que brindan varias funciones para filtrar datos confidenciales de hosts comprometidos.
“El grupo utiliza una variedad de herramientas personalizadas sofisticadas, implementa múltiples cadenas de eliminación que se basan en correos electrónicos de phishing”, dijo Andrey Polovinkin, investigador de seguridad de Group-IB. dicho en un informe técnico compartido con The Hacker News.
“Una vez que los atacantes obtienen acceso a la red de un objetivo, utilizan mecanismos de persistencia avanzados para pasar desapercibidos y mantener el control sobre el sistema comprometido”.
Los hallazgos también ilustran algunas modificaciones clave a la secuencia de ataque de Dark Pink para impedir el análisis y acomodar mejoras en KamiKakaBot, que ejecuta comandos desde un canal de Telegram controlado por un actor de amenazas a través de un bot de Telegram.
La última versión, en particular, divide su funcionalidad en dos partes distintas: una para controlar dispositivos y la otra para recopilar información valiosa.
La compañía con sede en Singapur dijo que también identificó una nueva cuenta de GitHub asociada con la cuenta que contiene scripts de PowerShell, archivos ZIP y malware personalizado que se cometieron entre el 9 de enero de 2023 y el 11 de abril de 2023.
Además de usar Telegram para comando y control, se ha observado que Dark Pink extrae datos robados a través de HTTP usando un servicio llamado webhook.[.]sitio. Otro aspecto destacable es el uso de un complemento de Microsoft Excel para garantizar la persistencia de TelePowerBot dentro del host infectado.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
“Con webhook[.]sitio, es posible configurar puntos finales temporales para capturar y ver las solicitudes HTTP entrantes”, señaló Polovinkin. “El actor de amenazas creó puntos finales temporales y envió datos confidenciales robados a las víctimas”.
Dark Pink, a pesar de sus motivos de espionaje, sigue siendo un misterio. Dicho esto, se sospecha que la huella de victimología del equipo de piratería podría ser más amplia de lo que se suponía anteriormente.
El hecho de que el adversario haya sido vinculado a solo 13 ataques (contando las cinco nuevas víctimas) desde mediados de 2021 indica un intento de mantener un perfil bajo para el sigilo. También es una señal de que el actor de amenazas selecciona cuidadosamente sus objetivos y mantiene la cantidad de ataques al mínimo para reducir la probabilidad de exposición.
“El hecho de que se ejecutaran dos ataques en 2023 indica que Dark Pink permanece activo y representa un riesgo continuo para las organizaciones”, dijo Polovinkin. “La evidencia muestra que los ciberdelincuentes detrás de estos ataques continúan actualizando sus herramientas existentes para no ser detectados”.