Uusi APT-ryhmä nimeltä Dark Pink on kohdistanut kohteena useiden Aasian ja Tyynenmeren maiden sotilas- ja hallintoelimiin kerätäkseen arvokkaita asiakirjoja.
Tummanvaaleanpunainen APT-ryhmä tavoittelee sekä armeijaa ja hallitusta
Joukko kehittyneet jatkuvat uhkahyökkäykset (APT). sen lanseerattiin Dark Pink -nimellä tunnettu ryhmä kesä-joulukuussa 2022. Hyökkäykset käynnistettiin useita Aasian ja Tyynenmeren maita vastaan, mukaan lukien Kambodža, Vietnam, Malesia, Indonesia ja Filippiinit. Kohteena oli myös yksi Euroopan maa, Bosnia ja Hertsegovina.
Dark Pink -hyökkäykset havaitsi ensimmäisenä Albert Priego, Group-IB: n haittaohjelmaanalyytikko. Jonkin sisällä IB-ryhmän blogikirjoitus tapahtumista, todettiin, että pahantahtoiset Dark Pink -operaattorit "hyödyntävät uusia taktiikoita, tekniikoita ja menettelyjä, joita aiemmin tunnetut harvoin käyttävät. APT-ryhmät." Mennessään yksityiskohtiin, Group-IB kirjoitti mukautetusta työkalupaketista, joka sisältää neljä erilaista infovarastajaa: TelePowerBot, KamiKakaBot, Cucky ja Ctealer.
Dark Pink käyttää näitä tietovarastoja poimimaan arvokkaita asiakirjoja, jotka on tallennettu hallituksen ja armeijan verkkoihin.
Dark Pinkin hyökkäysten alkuperäisen vektorin sanottiin olevan keihään tietojenkalastelukampanjoita, jossa operaattorit esiintyvät työnhakijoina. Group-IB totesi myös, että Dark Pinkillä on kyky tartuttaa USB-laitteita, jotka on liitetty vaarantuneisiin tietokoneisiin. Tämän lisäksi Dark Pink voi käyttää tartunnan saaneisiin tietokoneisiin asennettuja lähettiläitä.
Group-IB jakoi infografian Dark Pink -hyökkäyksistä Twitter-sivullaan alla olevan kuvan mukaisesti.
Vaikka suurin osa hyökkäyksistä tapahtui Vietnamissa (yksi epäonnistui), yhteensä viisi lisähyökkäystä tapahtui myös muissa maissa.
Dark Pinkin operaattorit ovat tällä hetkellä tuntemattomia
Kirjoitushetkellä Dark Pinkin takana olevat operaattorit ovat edelleen tuntemattomia. Ryhmä-IB kuitenkin totesi edellä mainitussa viestissä, että "sekoitus kansallisvaltion uhkatoimijoita Kiinasta, Pohjois-Koreasta, Iranista ja Pakistanista" on sidottu APT-hyökkäyksiin Aasian ja Tyynenmeren maissa. Mutta todettiin, että näyttää siltä, että Dark Pink syntyi jo vuoden 2021 puolivälissä, ja aktiivisuus nousi vuoden 2022 puolivälissä.
Group-IB huomautti myös, että tällaisten hyökkäysten tavoitteena on usein pikemminkin vakoittaminen kuin taloudellisen hyödyn saaminen.
Tummanvaaleanpunainen APT-ryhmä pysyy aktiivisena
Blogikirjoituksessaan Group-IB ilmoitti lukijoilleen, että tätä kirjoitettaessa (11.1.2023) Dark Pink APT -ryhmä on edelleen aktiivinen. Koska hyökkäykset päättyivät vasta vuoden 2022 lopulla, Group-IB jatkaa asian selvittämistä ja sen laajuuden määrittelyä.
Yhtiö toivoo saavansa selville näiden hyökkäysten tekijät ja totesi blogikirjoituksessaan, että tapauksesta tehdyn alustavan tutkimuksen pitäisi "meneä pitkälle lisätä tietoisuutta tämän uhkatoimijan käyttämistä uusista TTP: istä ja auttaa organisaatioita ryhtymään tarvittaviin toimiin suojautuakseen mahdollisesti tuhoisalta APT: ltä hyökkäys".
APT-ryhmät muodostavat valtavan turvallisuusuhan
Edistyneet pysyvät uhkaryhmät (APT) muodostavat valtavan riskin organisaatioille ympäri maailmaa. Kyberrikollisuuden menetelmien kehittyessä jatkuvasti, ei tiedetä, millaisen hyökkäyksen APT-ryhmät käynnistävät seuraavaksi ja mitä seurauksia sillä on kohteeseen.