{"id":568820,"date":"2023-01-11T09:43:31","date_gmt":"2023-01-11T09:43:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/dark-pink-apt-group-apunta-a-gobiernos-y-militares-en-la-region-apac\/"},"modified":"2023-01-11T09:43:32","modified_gmt":"2023-01-11T09:43:32","slug":"dark-pink-apt-group-apunta-a-gobiernos-y-militares-en-la-region-apac","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/dark-pink-apt-group-apunta-a-gobiernos-y-militares-en-la-region-apac\/","title":{"rendered":"Dark Pink APT Group apunta a gobiernos y militares en la regi\u00f3n APAC"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>11 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Amenaza Persistente Avanzada<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Las organizaciones gubernamentales y militares en la regi\u00f3n de Asia Pac\u00edfico est\u00e1n siendo atacadas por un actor de amenazas persistentes avanzadas (APT) previamente desconocido, seg\u00fan las \u00faltimas investigaciones.<\/p>\n

Group-IB, con sede en Singapur, en un informe<\/a> compartido con The Hacker News, dijo que est\u00e1 rastreando la campa\u00f1a en curso bajo el nombre Rosa oscuro<\/strong> y atribuy\u00f3 siete ataques exitosos al colectivo adversario entre junio y diciembre de 2022.<\/p>\n

La mayor parte de los ataques se han centrado en cuerpos militares, ministerios y agencias gubernamentales, y organizaciones religiosas y sin fines de lucro en Camboya, Indonesia, Malasia, Filipinas, Vietnam y Bosnia y Herzegovina, con una intrusi\u00f3n fallida reportada contra un desarrollo estatal europeo no identificado. organismo con sede en Vietnam.<\/p>\n

Se estima que el actor de amenazas comenz\u00f3 sus operaciones a mediados de 2021, aunque los ataques aumentaron solo un a\u00f1o despu\u00e9s utilizando un conjunto de herramientas personalizado nunca antes visto dise\u00f1ado para saquear informaci\u00f3n valiosa de las redes comprometidas.<\/p>\n

“Los objetivos principales de Dark Pink APT son realizar espionaje corporativo, robar documentos, capturar el sonido de los micr\u00f3fonos de los dispositivos infectados y extraer datos de los mensajeros”, dijo el investigador del Grupo-IB Andrey Polovinkin, describiendo la actividad como una “campa\u00f1a APT altamente compleja”. lanzado por actores de amenazas experimentados”.<\/p>\n

Adem\u00e1s de su sofisticado arsenal de malware, se ha observado que el grupo aprovecha los correos electr\u00f3nicos de phishing para iniciar sus ataques, as\u00ed como la API de Telegram para las comunicaciones de comando y control (C2).<\/p>\n

Tambi\u00e9n es notable el uso de una sola cuenta de GitHub para alojar m\u00f3dulos maliciosos y que ha estado activa desde mayo de 2021, lo que sugiere que Dark Pink ha podido operar sin ser detectado durante m\u00e1s de 1,5 a\u00f1os.<\/p>\n

La campa\u00f1a Dark Pink se destaca adem\u00e1s por emplear m\u00faltiples cadenas de infecci\u00f3n, en las que los mensajes de phishing contienen un enlace a un archivo de imagen ISO con una trampa explosiva para activar el proceso de implementaci\u00f3n de malware. En un caso, el adversario se hizo pasar por un candidato que solicitaba una pasant\u00eda de relaciones p\u00fablicas.<\/p>\n

\"\"<\/div>\n

Tambi\u00e9n se sospecha que el equipo de pirater\u00eda puede estar rastreando bolsas de trabajo para adaptar sus mensajes y aumentar la probabilidad de \u00e9xito de sus ataques de ingenier\u00eda social.<\/p>\n

El objetivo final es implementar TelePowerBot y KamiKakaBot, que son capaces de ejecutar comandos enviados a trav\u00e9s de un bot de Telegram controlado por un actor, adem\u00e1s de usar herramientas personalizadas como Ctealer y Cucky para extraer credenciales y cookies de los navegadores web.<\/p>\n

Mientras que Ctealer est\u00e1 escrito en C\/C++, Cucky es un programa .NET. Otro malware personalizado es ZMsg, una aplicaci\u00f3n basada en .NET que permite a Dark Pink recopilar mensajes enviados a trav\u00e9s de aplicaciones de mensajer\u00eda como Telegram, Viver y Zalo.<\/p>\n

Una cadena de eliminaci\u00f3n alternativa identificada por Group-IB utiliza un documento se\u00f1uelo incluido en el archivo ISO para recuperar una plantilla maliciosa habilitada para macros de GitHub, que, a su vez, alberga TelePowerBot, un malware de script de PowerShell. <\/p>\n

\"\"<\/div>\n

Eso no es todo. Un tercer m\u00e9todo detectado recientemente en diciembre de 2022 ve el lanzamiento de KamiKakaBot, una versi\u00f3n .NET de TelePowerBot, con la ayuda de un archivo XML que contiene un proyecto de MSBuild que se encuentra al final de un documento de Word en vista cifrada. El archivo de Word est\u00e1 presente en una imagen ISO enviada a la v\u00edctima en un correo electr\u00f3nico de phishing.<\/p>\n

“Los actores de amenazas detr\u00e1s de esta ola de ataques pudieron crear sus herramientas en varios lenguajes de programaci\u00f3n, d\u00e1ndoles flexibilidad mientras intentaban violar la infraestructura de defensa y ganar persistencia en las redes de las v\u00edctimas”, explic\u00f3 Polovinkin.<\/p>\n

A un compromiso exitoso le siguen actividades de reconocimiento, movimiento lateral y exfiltraci\u00f3n de datos, y el actor tambi\u00e9n usa Dropbox y el correo electr\u00f3nico en algunos casos para transmitir archivos de inter\u00e9s. Tambi\u00e9n se emplea un m\u00f3dulo PowerSploit disponible p\u00fablicamente para grabar el audio del micr\u00f3fono en los dispositivos, adem\u00e1s de ejecutar comandos para infectar los discos USB adjuntos para propagar el malware.<\/p>\n

“El uso de un conjunto de herramientas casi completamente personalizado, t\u00e9cnicas de evasi\u00f3n avanzadas, la capacidad de los actores de amenazas para modificar su malware para garantizar la m\u00e1xima eficacia y el perfil de las organizaciones objetivo demuestran la amenaza que representa este grupo en particular”, dijo Polovinkin.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n