Nauja APT grupė, pavadinta Dark Pink, nusitaikė į daugelio Azijos ir Ramiojo vandenyno šalių karines ir vyriausybines institucijas, kad gautų vertingus dokumentus.
Tamsiai rožinė APT grupė siekia tikslo, kariuomenės ir vyriausybės
Daugybė Išplėstinės nuolatinės grėsmės (APT) atakos buvo nustatyta, kad 2022 m. birželio–gruodžio mėn. pradėjo veikti grupė, žinoma kaip „Dark Pink“. Išpuoliai buvo surengti prieš kelias Azijos ir Ramiojo vandenyno šalis, įskaitant Kambodžą, Vietnamą, Malaiziją, Indoneziją ir Filipinus. Taikiniu taip pat buvo viena Europos šalis – Bosnija ir Hercegovina.
„Dark Pink“ atakas pirmasis atrado Albertas Priego, grupės IB kenkėjiškų programų analitikas. A Grupės IB tinklaraščio įrašas apie incidentusbuvo teigiama, kad kenkėjiški Dark Pink operatoriai „naudoja naują taktikos, metodų ir procedūrų rinkinį, retai naudojamą anksčiau žinomų APT grupės.“ Išsamiau „Group-IB“ parašė apie pasirinktinį įrankių rinkinį, kuriame yra keturi skirtingi informacijos plėšikai: „TelePowerBot“, „KamiKakaBot“, „Cucky“ ir Ctealer.
Šiuos informacijos vagysčius naudoja „Dark Pink“, kad išgautų vertingus dokumentus, saugomus vyriausybės ir kariniuose tinkluose.
Teigiama, kad pradinis „Dark Pink“ atakų vektorius buvo sukčiavimo kampanijas, kur operatoriai apsimetinėja kandidatais į darbą. Group-IB taip pat pažymėjo, kad „Dark Pink“ turi galimybę užkrėsti USB įrenginius, prijungtus prie pažeistų kompiuterių. Be to, „Dark Pink“ gali pasiekti užkrėstuose kompiuteriuose įdiegtus pasiuntinius.
Grupė IB pasidalino infografika apie tamsiai rožinės spalvos atakas savo Twitter puslapyje, kaip parodyta toliau.
Nors dauguma atakų įvyko Vietname (viena buvo nesėkminga), iš viso penkios papildomos atakos taip pat įvyko kitose šalyse.
„Dark Pink“ operatoriai šiuo metu nežinomi
Rašymo metu „Dark Pink“ operatoriai lieka nežinomi. Tačiau IB grupė minėtame pranešime teigė, kad „nacionalinės valstybės grėsmės veikėjų mišinys iš Kinijos, Šiaurės Korėjos, Irano ir Pakistano“ buvo susiję su APT atakomis Azijos ir Ramiojo vandenyno šalyse. Tačiau buvo pastebėta, kad atrodo, kad tamsiai rožinė spalva atsirado dar 2021 m. viduryje, o aktyvumas išaugo 2022 m. viduryje.
Group-IB taip pat pažymėjo, kad tokių išpuolių tikslas dažnai yra šnipinėjimas, o ne finansinė nauda.
Tamsiai rožinė APT grupė išlieka aktyvi
Savo tinklaraščio įraše Group-IB informavo skaitytojus, kad rašymo metu (2023 m. sausio 11 d.) Dark Pink APT grupė išlieka aktyvi. Kadangi atakos nesibaigė iki 2022 m. pabaigos, IB grupė vis dar tiria problemą ir nustato jos apimtį.
Bendrovė tikisi atskleisti šių išpuolių vykdytojus ir savo tinklaraščio įraše pareiškė, kad preliminarus šio incidento tyrimas turėtų „nueiti ilgą kelią iki didinti informuotumą apie naujus TTP, kuriuos naudoja šis grėsmės veikėjas, ir padėti organizacijoms imtis atitinkamų veiksmų, kad apsisaugotų nuo galimai niokojančio APT puolimas“.
APT grupės kelia didžiulę grėsmę saugumui
Išplėstinės nuolatinės grėsmės (APT) grupės kelia didžiulę riziką organizacijoms visame pasaulyje. Kadangi elektroninių nusikaltimų metodai ir toliau tobulėja, nežinoma, kokią ataką APT grupės pradės kitą kartą ir kokias pasekmes tai turės taikiniui.