Ciberseguridad 360 | El nuevo grupo Dark Pink APT apunta al gobierno y al ejército con malware personalizado

Los ataques dirigidos a agencias gubernamentales y cuerpos militares en varios pa�ses de la regi�n APAC se han atribuido a lo que parece ser un nuevo actor de amenazas avanzado que aprovecha el malware personalizado para robar informaci�n confidencial.

Los investigadores de seguridad se refieren a este grupo como Dark Pink (Group-IB) o Saaiwc Group (Anheng Hunting Labs), y se�alan que emplea t�cticas, t�cnicas y procedimientos (TTP) poco comunes.

El conjunto de herramientas personalizado observado en los ataques se puede utilizar para robar informaci�n y propagar malware a trav�s de unidades USB. El actor us� m�todos de ejecuci�n activados por eventos y carga lateral de DLL para ejecutar sus cargas �tiles en sistemas comprometidos.

Un informe publicado por la empresa de ciberseguridad Group-IB dice que el objetivo del actor de amenazas es robar informaci�n de los navegadores de la v�ctima, obtener acceso a los mensajeros, filtrar documentos y capturar audio del micr�fono del dispositivo infectado.

Considerada una amenaza persistente avanzada (APT), Dark Pink ha lanzado al menos siete ataques exitosos entre junio y diciembre de 2022.

Compromiso inicial

El vector de ataque inicial t�pico de Dark Pink son los correos electr�nicos de spear-phishing disfrazados de solicitudes de empleo, que enga�aron a la v�ctima para que descargara un archivo de imagen ISO malicioso. M�s all� de este paso, Group-IB vio m�ltiples variaciones en la cadena de ataque.

Uno de ellos utiliz� un archivo ISO con todo incluido que almacenaba un documento se�uelo, un ejecutable firmado y un archivo DLL malicioso, lo que condujo a la implementaci�n de uno de los dos ladrones de informaci�n personalizados utilizados por el grupo (Ctealer o Cucky) a trav�s de la carga lateral de DLL. . En la siguiente etapa, se eliminar�a un implante de registro llamado TelePowerBot.

Otra cadena de ataques utiliza un documento de Microsoft Office (.DOC) dentro de un archivo ISO. Cuando la v�ctima abre el archivo, se obtiene una plantilla con una macro maliciosa de GitHub, encargada de cargar TelePowerBot y realizar cambios en el registro de Windows.

Una tercera cadena de ataques observada en diciembre de 2022 fue id�ntica a la primera. Sin embargo, en lugar de cargar TelePowerBot, el archivo ISO malicioso y la t�cnica de carga lateral de DLL cargan otro malware personalizado que los investigadores llaman KamiKakaBot, dise�ado para leer y ejecutar comandos.

Malware personalizado

Cucky y Ctealer son ladrones de informaci�n personalizados escritos en .NET y C++, respectivamente. Ambos intentan localizar y extraer contrase�as, historial de navegaci�n, inicios de sesi�n guardados y cookies de una larga lista de navegadores web: Chrome, Microsoft Edge, CocCoc, Chromium, Brave, Atom, Uran, Sputnik, Slimjet, Epic Privacy, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Avast Secure Browser y Yandex Browser.

TelePowerBot es un implante de registro que se inicia a trav�s de un script en el arranque del sistema y se conecta a un canal de Telegram desde donde recibe los comandos de PowerShell para ejecutar.

?Durante la infecci�n, los actores de amenazas ejecutan varios comandos est�ndar (p. ej., net share, Get-SmbShare) para determinar qu� recursos de red est�n conectados al dispositivo infectado. Si se encuentra el uso del disco de red, comenzar�n a explorar este disco para encontrar archivos que puedan ser de su inter�s y potencialmente exfiltrarlos? - Group-IB

En general, los comandos pueden iniciar herramientas de consola simples o secuencias de comandos complejas de PowerShell que permiten el movimiento lateral a trav�s de unidades extra�bles USB.

KamiKakaBot es la versi�n .NET de TelePowerBot, que tambi�n viene con capacidades de robo de informaci�n, apuntando a datos almacenados en navegadores basados ??en Chrome y Firefox.

Adem�s de estas herramientas, Dark Pink tambi�n utiliza un script para grabar el sonido a trav�s del micr�fono cada minuto. Los datos se guardan como un archivo ZIP en la carpeta temporal de Windows antes de que se exfiltren al bot de Telegram.

De manera similar, el actor de amenazas usa una utilidad especial de exfiltraci�n de mensajer�a llamada ZMsg, descargada de GitHub. La utilidad roba comunicaciones de Viber, Telegram y Zalo y las almacena en "%TEMP%\KoVosRLvmU\" hasta que se extraen.

Un informe anterior de la empresa china de ciberseguridad Anheng Hunting Labs, que rastrea a Dark Pink como Saaiwc Group, describe algunas cadenas de ataque y se�ala que en una de ellas el actor us� una plantilla de Microsoft Office con c�digo de macro malicioso para explotar un ataque m�s antiguo y de alta gravedad. vulnerabilidad identificada como CVE-2017-0199 .

Aunque Group-IB confirma con gran confianza que Dark Pink es responsable de siete ataques, los investigadores se�alan que el n�mero podr�a ser mayor.

La compa��a ha informado a las siete organizaciones sobre la actividad comprometida del actor de amenazas y continuar� rastreando las operaciones de Dark Pink.

Fuente: BC.