Novo grupo APT rosa escuro visa governos e militares na Ásia-Pacífico

Um novo grupo APT chamado Dark Pink tem como alvo órgãos militares e governamentais em vários países da Ásia-Pacífico para extrair documentação valiosa.

Dark Pink APT Group aponta para militares e governo

Uma série de ataques de ameaça persistente avançada (APT) foi lançada por um grupo conhecido como Dark Pink entre junho e dezembro de 2022. Os ataques foram lançados contra vários países da Ásia-Pacífico, incluindo Camboja, Vietnã, Malásia, Indonésia, e as Filipinas. Um país europeu, a Bósnia e Herzegovina, também foi alvo.

Os ataques Dark Pink foram descobertos pela primeira vez por Albert Priego, um analista de malware do Group-IB. Em uma postagem no blog do Group-IB sobre os incidentes , foi declarado que os operadores maliciosos do Dark Pink estão “alavancando um novo conjunto de táticas, técnicas e procedimentos raramente utilizados por grupos APT conhecidos anteriormente”. escreveu sobre um kit de ferramentas personalizado com quatro infostealers diferentes: TelePowerBot, KamiKakaBot, Cucky e Ctealer.

Esses infostealers estão sendo usados ​​pela Dark Pink para extrair documentos valiosos armazenados nas redes governamentais e militares.

Dizia-se que o vetor inicial dos ataques do Dark Pink eram as campanhas de spear phishing, nas quais os operadores se faziam passar por candidatos a emprego. O Group-IB também observou que o Dark Pink tem a capacidade de infectar os dispositivos USB conectados a computadores comprometidos. Além disso, o Dark Pink pode acessar os mensageiros instalados nos computadores infectados.

O Group-IB compartilhou um infográfico sobre os ataques Dark Pink em sua página do Twitter, conforme mostrado abaixo.

Embora a maioria dos ataques tenha ocorrido no Vietnã (com um sem sucesso), um total de cinco ataques adicionais também ocorreram em outras nações.

Os operadores de Dark Pink são atualmente desconhecidos

No momento em que escrevo, os operadores por trás do Dark Pink permanecem desconhecidos. No entanto, o Group-IB afirmou no post mencionado que “uma mistura de atores de ameaças de estado-nação da China, Coréia do Norte, Irã e Paquistão” foram vinculados a ataques APT em países da Ásia-Pacífico. Mas observou-se que parece que Dark Pink surgiu em meados de 2021, com um aumento na atividade surgindo em meados de 2022.

O Group-IB também observou que o objetivo de tais ataques geralmente é cometer espionagem, em vez de se beneficiar financeiramente.

O Grupo APT Rosa Escuro Permanece Ativo

Em sua postagem no blog, o Group-IB informou aos leitores que, no momento da redação deste artigo (11 de janeiro de 2023), o grupo Dark Pink APT permanece ativo. Como os ataques não terminaram até o final de 2022, o Group-IB ainda está investigando o problema e determinando seu escopo.

A empresa espera descobrir os operadores desses ataques e declarou em seu blog que a pesquisa preliminar realizada sobre o incidente deve “ajudar muito a aumentar a conscientização sobre os novos TTPs utilizados por esse agente de ameaças e ajudar as organizações a tomar as decisões relevantes passos para se proteger de um ataque APT potencialmente devastador”.

Grupos APT representam uma enorme ameaça à segurança

Grupos de ameaças persistentes avançadas (APT) representam um enorme risco para organizações em todo o mundo. Como os métodos de cibercrime continuam a aumentar em sua sofisticação, não há como saber que tipo de ataque os grupos APT lançarão a seguir e quais consequências isso terá sobre o alvo.