Las organizaciones gubernamentales y militares en la región de Asia Pacífico están siendo atacadas por un actor de amenazas persistentes avanzadas (APT) previamente desconocido, según las últimas investigaciones.
Group-IB, con sede en Singapur, en un informe compartido con The Hacker News, dijo que está rastreando la campaña en curso bajo el nombre Rosa oscuro y atribuyó siete ataques exitosos al colectivo adversario entre junio y diciembre de 2022.
La mayor parte de los ataques se han centrado en cuerpos militares, ministerios y agencias gubernamentales, y organizaciones religiosas y sin fines de lucro en Camboya, Indonesia, Malasia, Filipinas, Vietnam y Bosnia y Herzegovina, con una intrusión fallida reportada contra un desarrollo estatal europeo no identificado. organismo con sede en Vietnam.
Se estima que el actor de amenazas comenzó sus operaciones a mediados de 2021, aunque los ataques aumentaron solo un año después utilizando un conjunto de herramientas personalizado nunca antes visto diseñado para saquear información valiosa de las redes comprometidas.
«Los objetivos principales de Dark Pink APT son realizar espionaje corporativo, robar documentos, capturar el sonido de los micrófonos de los dispositivos infectados y extraer datos de los mensajeros», dijo el investigador del Grupo-IB Andrey Polovinkin, describiendo la actividad como una «campaña APT altamente compleja». lanzado por actores de amenazas experimentados».
Además de su sofisticado arsenal de malware, se ha observado que el grupo aprovecha los correos electrónicos de phishing para iniciar sus ataques, así como la API de Telegram para las comunicaciones de comando y control (C2).
También es notable el uso de una sola cuenta de GitHub para alojar módulos maliciosos y que ha estado activa desde mayo de 2021, lo que sugiere que Dark Pink ha podido operar sin ser detectado durante más de 1,5 años.
La campaña Dark Pink se destaca además por emplear múltiples cadenas de infección, en las que los mensajes de phishing contienen un enlace a un archivo de imagen ISO con una trampa explosiva para activar el proceso de implementación de malware. En un caso, el adversario se hizo pasar por un candidato que solicitaba una pasantía de relaciones públicas.
También se sospecha que el equipo de piratería puede estar rastreando bolsas de trabajo para adaptar sus mensajes y aumentar la probabilidad de éxito de sus ataques de ingeniería social.
El objetivo final es implementar TelePowerBot y KamiKakaBot, que son capaces de ejecutar comandos enviados a través de un bot de Telegram controlado por un actor, además de usar herramientas personalizadas como Ctealer y Cucky para extraer credenciales y cookies de los navegadores web.
Mientras que Ctealer está escrito en C/C++, Cucky es un programa .NET. Otro malware personalizado es ZMsg, una aplicación basada en .NET que permite a Dark Pink recopilar mensajes enviados a través de aplicaciones de mensajería como Telegram, Viver y Zalo.
Una cadena de eliminación alternativa identificada por Group-IB utiliza un documento señuelo incluido en el archivo ISO para recuperar una plantilla maliciosa habilitada para macros de GitHub, que, a su vez, alberga TelePowerBot, un malware de script de PowerShell.
Eso no es todo. Un tercer método detectado recientemente en diciembre de 2022 ve el lanzamiento de KamiKakaBot, una versión .NET de TelePowerBot, con la ayuda de un archivo XML que contiene un proyecto de MSBuild que se encuentra al final de un documento de Word en vista cifrada. El archivo de Word está presente en una imagen ISO enviada a la víctima en un correo electrónico de phishing.
«Los actores de amenazas detrás de esta ola de ataques pudieron crear sus herramientas en varios lenguajes de programación, dándoles flexibilidad mientras intentaban violar la infraestructura de defensa y ganar persistencia en las redes de las víctimas», explicó Polovinkin.
A un compromiso exitoso le siguen actividades de reconocimiento, movimiento lateral y exfiltración de datos, y el actor también usa Dropbox y el correo electrónico en algunos casos para transmitir archivos de interés. También se emplea un módulo PowerSploit disponible públicamente para grabar el audio del micrófono en los dispositivos, además de ejecutar comandos para infectar los discos USB adjuntos para propagar el malware.
«El uso de un conjunto de herramientas casi completamente personalizado, técnicas de evasión avanzadas, la capacidad de los actores de amenazas para modificar su malware para garantizar la máxima eficacia y el perfil de las organizaciones objetivo demuestran la amenaza que representa este grupo en particular», dijo Polovinkin.