Ανακαλύφθηκε ότι ένας νέος εξελιγμένος απειλητικός φορέας χρησιμοποιεί προσαρμοσμένο κακόβουλο λογισμικό για να αποκτήσει ευαίσθητα δεδομένα από διάφορους κυβερνητικούς και στρατιωτικούς οργανισμούς σε πολλές χώρες της περιοχής APAC. Οι ειδικοί σε θέματα ασφάλειας έχουν ονομάσει αυτή την ομάδα είτε Dark Pink (Group-IB) είτε Saaiwc Group (Anheng Hunting Labs) και επισημαίνουν ότι οι μέθοδοι, οι τακτικές και οι διαδικασίες τους κάθε άλλο παρά συνηθισμένες είναι.
Η έρευνά αποκάλυψε ότι το εξατομικευμένο σύνολο εργαλείων που παρατηρείται σε αυτές τις επιθέσεις μπορεί να χρησιμοποιηθεί για την κλοπή εμπιστευτικών δεδομένων και τη διάδοση κακόβουλου λογισμικού σε μονάδες USB. Αυτός ο κακόβουλος δράστης εφάρμοσε τακτικές παράπλευρης φόρτωσης DLL και εκτέλεσης με ενεργοποίηση συμβάντος για την εκτόξευση των ωφέλιμων φορτίων του εντός των επηρεαζόμενων δικτύων.
Δείτε επίσης: Dridex malware: Επέστρεψε μολύνοντας Mac υπολογιστές
Σύμφωνα με την πρόσφατη έκθεση της Group-IB για την ασφάλεια στον κυβερνοχώρο, ένας κακόβουλος φορέας επιδιώκει να αποκτήσει πληροφορίες από τα προγράμματα περιήγησης και τα messengers των χρηστών, να εξάγει έγγραφα και να καταγράφει ήχο μέσω του μικροφώνου της συσκευής που στοχεύει.
Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik
SecNewsTV 1 Αυγούστου, 7:56 πμ
12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις
SecNewsTV 7 Ιουλίου, 10:27 μμ
Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin
SecNewsTV 18 Μαΐου, 1:06 μμ
Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις
SecNewsTV 3 Μαρτίου, 12:57 πμ
LIVE: GoldDigger credential detection & PinataHub platform
SecNewsTV 29 Ιανουαρίου, 1:24 πμ
LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news
SecNewsTV 1 Οκτωβρίου, 12:54 πμ
Από τον Ιούνιο έως τον Δεκέμβριο του 2022, η Dark Pink έχει εξαπολύσει τουλάχιστον επτά επικίνδυνες επιθέσεις που χαρακτηρίζονται ως advanced persistent threat (APT).
Σημείο εκκίνησης
Η επίθεση του Dark Pink ξεκινά συνήθως με ένα spear-phishing email που μεταμφιέζεται ως αίτηση εργασίας, παρασύροντας το θύμα να κατεβάσει ένα αρχείο εικόνας ISO. Μετά από αυτό το βήμα, η Group-IB εντόπισε διαφορετικές προσεγγίσεις στην αλυσίδα των επιθέσεων.
Οι επιτιθέμενοι χρησιμοποίησαν ένα ενιαίο αρχείο ISO για να διατηρήσουν το έγγραφο δόλωμα, το εκτελέσιμο αρχείο και το κακόβουλο αρχείο DLL. Αυτό τους επέτρεψε να αναπτύξουν οποιονδήποτε από τους προσαρμοσμένους information stealer (Ctealer ή Cucky) μέσω DLL side-loading. Ως επόμενο βήμα σε αυτή τη διαδικασία, θα έριχναν το registry implant TelePowerBot στο σύστημα.
Δείτε επίσης: Η Auth0 έφτιαξε το RCE «σφάλμα» στη JsonWebToken βιβλιοθήκη
Για να εξαπολύσουν μια άλλη αλυσίδα επιθέσεων, κακόβουλοι φορείς χρησιμοποίησαν ένα έγγραφο του Microsoft Office (.DOC) ενσωματωμένο σε ένα αρχείο ISO. Μόλις το θύμα ανοίξει αυτό το αρχείο, το κακόβουλο λογισμικό ενεργοποιείται και αντλεί ένα πρότυπο από το Github με μια κακόβουλη μακροεντολή στο εσωτερικό του – αυτή η μακροεντολή είναι υπεύθυνη για τη φόρτωση του TelePowerBot στο σύστημά, καθώς και για την πραγματοποίηση αλλαγών στο μητρώο των Windows.
Τον Δεκέμβριο του 2022, ένα άλλο προσαρμοσμένο κακόβουλο λογισμικό με την ονομασία KamiKakaBot κυκλοφόρησε χρησιμοποιώντας μια παρόμοια αλυσίδα επίθεσης που είχαμε δει και στο παρελθόν. Αυτό το κακόβουλο αρχείο ISO και η προσέγγιση DLL side-loading χρησιμοποιήθηκαν για τον ίδιο στόχο της ανάγνωσης και εκτέλεσης εντολών αντί της λήψης του TelePowerBot.
Προσαρμοσμένο malware
Το Cucky και το Ctealer είναι προσαρμοσμένα info-stealers γραμμένα σε .NET και C++, αντίστοιχα. Και οι δύο προσπαθούν να εντοπίσουν και να εξαγάγουν κωδικούς πρόσβασης, ιστορικό περιήγησης, αποθηκευμένες συνδέσεις και cookies από μια μακρά λίστα προγραμμάτων περιήγησης ιστού: Chrome, Microsoft Edge, CocCoc, Chromium, Brave, Atom, Uran, Sputnik, Slimjet, Epic Privacy, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Avast Secure Browser και Yandex Browser.
Το TelePowerBot είναι ένα registry implant που ξεκινά μέσω ενός script κατά την εκκίνηση του συστήματος και συνδέεται με ένα κανάλι Telegram από όπου λαμβάνει εντολές PowerShell για εκτέλεση.
Στο σύνολό τους, βασικά εργαλεία κονσόλας ή περίπλοκα PowerShell scripts μπορούν να ενεργοποιηθούν μέσω εντολών για να επιτρέψουν την πλευρική μετακίνηση σε αφαιρούμενους δίσκους USB.
Δείτε επίσης: Ψεύτικα sites AnyDesk μολύνουν τα θύματα με το Vidar malware
Το KamiKakaBot είναι η .NET έκδοση του TelePowerBot, ιδανική για την κλοπή δεδομένων που είναι αποθηκευμένα στα προγράμματα περιήγησης Chrome και Firefox.
Για να διευρύνει το οπλοστάσιο των τακτικών του, το Dark Pink έχει υλοποιήσει ένα script που καταγράφει τον ήχο μέσω του μικροφώνου κάθε λεπτό και τον αποθηκεύει ως αρχείο ZIP στον προσωρινό φάκελο των Windows. Στη συνέχεια, αυτά τα εμπιστευτικά δεδομένα αποστέλλονται στο Telegram bot.
Επιπλέον, ο κακόβουλος δράστης διαθέτει ένα εξειδικευμένο πρόγραμμα κλοπής πληροφοριών με την ονομασία ZMsg, το οποίο κατεβαίνει μέσω του GitHub. Αυτό το βοηθητικό πρόγραμμα κλέβει συνομιλίες και αρχεία καταγραφής από τις εφαρμογές Viber, Telegram και Zalo και στη συνέχεια τα αποθηκεύει στο “%TEMP%\KoVosRLvmU\” μέχρι να μπορέσει να μεταφερθεί εκτός συστήματος.
Σύμφωνα με την Anheng Hunting Labs, μια κινεζική εταιρεία κυβερνοασφάλειας που παρακολουθεί την Dark Pink (επίσης γνωστή ως Saaiwc Group), ο απειλητικός παράγοντας χρησιμοποίησε ένα παλαιότερο πρότυπο του Microsoft Office με κακόβουλο κώδικα μακροεντολών σε μια από τις αλυσίδες επιθέσεων. Αυτό τους επέτρεψε να εκμεταλλευτούν μια προηγουμένως εντοπισμένη ευπάθεια υψηλής σοβαρότητας με την ονομασία CVE-2017-0199.
Η Group-IB έχει μεγάλο βαθμό βεβαιότητας ότι η Dark Pink είναι υπεύθυνη για επτά επιθέσεις στον κυβερνοχώρο, ωστόσο αναγνωρίζει ότι ο αριθμός θα μπορούσε να είναι μεγαλύτερος.
Η εταιρεία έχει ειδοποιήσει τις επτά οντότητες για πιθανές κακόβουλες δραστηριότητες από την Dark Pink και θα παραμείνει επιμελής στην παρακολούθηση τυχόν περαιτέρω ενεργειών.
Πηγή πληροφοριών: bleepingcomouter.com