Группа киберпреступников под названием Dark Pink, также известная как Saaiwc Group, связана исследователями кибербезопасности с пятью новыми атаками, направленными против различных организаций в Бельгии, Брунее, Индонезии, Таиланде и Вьетнаме. Жертвами хакеров стали учебные учреждения, правительственные агентства, военные органы и некоммерческие организации.
Dark Pink – это продвинутая хакерская группа, которая, по-видимому, имеет азиатско-тихоокеанское происхождение и специализируется на атаках против объектов, расположенных в основном в Восточной Азии и, в меньшей степени, в Европе.
Атаки Dark Pink по-прежнему основаны на ISO-образах, доставляемых на целевое устройство с помощью e-mail фишинга. За первоначальным заражением следует DLL Sideloading, запускающий фирменные бэкдоры киберпреступников – “TelePowerBot” и “KamiKakaBot”. Бэкдоры, в свою очередь, обеспечивают различные функции для похищения конфиденциальных данных с заражённых хостов.
“После того, как злоумышленники получают доступ к сети цели, они используют продвинутые механизмы сохранения доступа, чтобы оставаться незамеченными и сохранять контроль над скомпрометированной системой”, – сообщил в техническом отчёте Андрей Половинкин, аналитик по вредоносным программам в Group-IB.
В отчёте Group-IB также описываются некоторые ключевые изменения в последовательности атак Dark Pink с целью затруднения анализа исследователей. Также отмечаются некоторые улучшения в работе KamiKakaBot, который выполняет команды Telegram-бота, подконтрольного хакерам. Последняя версия KamiKakaBot, в частности, разделяет свою функциональность на две отдельные части: одна для управления устройствами, другая для сбора ценной информации.
Group-IB также сообщила о том, что её специалистам удалось выявить новый аккаунт GitHub, связанный с Dark Pink. На этом аккаунте содержатся скрипты PowerShell, ZIP-архивы и собственные вредоносные инструменты группировки, загруженные в этом году.
Помимо использования Telegram для реализации C2-функционала, Dark Pink была замечена в похищении данных по протоколу HTTP с помощью сервиса “webhook.site”. Другая заметная особенность группировки – использование вредоносного дополнения Microsoft Excel для обеспечения постоянства доступа к TelePowerBot на заражённом хосте.
“С помощью webhook.site можно создавать временные конечные точки для перехвата и просмотра входящих HTTP-запросов”, – отметил Половинкин, добавив, что именно этим функционалом успешно пользовались злоумышленники для эксфильтрации данных.
Мотивы шпионажа Dark Pink пока что остаются загадкой. Тем не менее, предполагается, что география жертв хакерской группы может быть шире, чем предполагалось ранее. Тот факт, что с середины 2021 года хакерам удалось приписать только 13 атак (с учетом пяти новых жертв), указывает на их попытку сохранить низкий профиль скрытности. Это также признак того, что кибербандиты тщательно выбирают свои цели и держат количество атак на минимуме, чтобы снизить вероятность раскрытия. А в перерывах между атаками хакеры дорабатывают свои инструменты, чтобы и дальше оставаться незамеченными.