hacker-g55d7f3284_640.jpg

Dark Pink atinge Ásia-Pacífico e Europa com spear phishing

Da Redação
12/01/2023

Um novo grupo de ameaça persistente avançada (APT) apelidado de Dark Pink pela empresa de cibersegurança Group-IB — e ‘Saaiwc Group’ por pesquisadores chineses de segurança cibernética — foi detectado visando várias organizações nas regiões da Ásia-Pacífico e da Europa, principalmente com técnicas de spear phishing.

De acordo com um novo comunicado publicado pelo Group-IB nesta quinta-feira, 12, o Dark Pink iniciou suas operações em meados de 2021, embora a atividade do grupo tenha aumentado acentuadamente em meados do ano passado. “Até o momento, [nós] descobrimos sete ataques confirmados do grupo”, diz o artigo técnico. “A maior parte dos ataques foi realizada contra países da região da APAC, embora os operadores da ameaça tenham aberto suas asas e visado um ministério governamental europeu.”

Mais especificamente, o Grupo-IB identificou duas instituições militares nas Filipinas e na Malásia, uma organização religiosa no Vietnã e agências governamentais no Camboja, Indonésia e Bósnia e Herzegovina. Os especialistas em cibersegurança também detectaram um ataque malsucedido a uma agência de desenvolvimento estatal europeia com sede no Vietnã.

“A pesquisa inicial do Group-IB sobre o Dark Pink revelou que os operadores da ameaça estão aproveitando um novo conjunto de táticas, técnicas e procedimentos raramente utilizados por grupos APT conhecidos”, diz o comunicado. Isso inclui um kit de ferramentas personalizado com os ladrões de informações TelePowerBot, KamiKakaBot e Cucky e Ctealer. 

Além disso, o grupo também pode infectar dispositivos USB conectados a computadores comprometidos. “Os operadores da ameaça utilizam duas técnicas principais: DLL Side-Loading e execução de conteúdo malicioso acionado por uma associação de tipo de arquivo […] A última dessas táticas raramente é vista utilizada por hackers”, explicou o Group-IB.

Veja isso
Japão sofre um ciberataque de grupo APT da Rússia
Malware BRATA Android é classificado como padrão APT

A equipe de segurança também acrescentou que os hackers criaram um conjunto de scripts do PowerShell para comunicações entre as vítimas e a infraestrutura dos operadores da ameaça e usaram a API do Telegram para toda a comunicação entre eles e a infraestrutura infectada.

“Os cibercriminosos por trás do Dark Pink conseguiram, com a ajuda de seu kit de ferramentas personalizado, violar as defesas de órgãos governamentais e militares em vários países da APAC e das regiões europeias”, escreveu o Group-IB. “A campanha do grupo mais uma vez destaca os enormes perigos que as campanhas de spear phishing representam para as organizações, já que até mesmo os operadores de ameaças altamente avançados usam esse vetor para obter acesso às redes, e recomendamos que as organizações continuem a educar seu pessoal sobre como detectar esses tipos de e-mails.” Com agências de notícias internacionais.

Compartilhar: