Проводя расследование, Group-IB подчеркнула, что Dark Pink может быть совершенно новой APT-группировкой. Свое название банда хакеров получила из-за имен некоторых электронных ящиков, на которые высылались украденные данные. Однако китайские исследователи дали ей другое название – Saaiwc Group.
Аналитики Group-IB раскрыли семь кибератак, за которыми стоит Dark Pink, а после обнаружения GitHub-аккаунта группировки предположили, что злоумышленники вышли на киберпреступную арену еще в середине 2021 года.
Большая часть атак была направлена на Азиатско-Тихоокеанский регион, среди подтвержденных жертв – два военных ведомства на Филиппинах и в Малайзии, правительственные учреждения в Камбодже, Индонезии, Боснии и Герцеговине, а также религиозная организация во Вьетнаме.
В ходе кибератак Dark Pink применяет целый ряд новых тактик и набор из мощных кастомных инструментов: TelePowerBot, KamiKakaBot, Cucky и Ctealer. Эти модули используются для кражи важной информации, которая хранится в сетях правительственных и военных организаций.
Первоначальный доступ к сетям группировка получала с помощью фишинговых писем с вредоносным ISO-образом внутри. В одном из обнаруженных писем хакеры выдавали себя за соискателя, претендующего на должность стажера по связям с общественностью.
Основных методов заражения у группировки всего две:
Боковая загрузка DLL;
Внесение изменений в реестр значения, определяющий программу, ассоциируемую с открытием файла. Таким образом, когда пользователь пытается открыть нужный документ, это приводит к запуску вредоносной программы, вшитой в заранее созданную копию этого документа.
По словам специалистов, Dark Pink не только крадет информацию, но и заражает USB-устройства, подключенные к взломанным компьютерам, получает доступ к мессенджерам, а также захватывает звук с микрофонов взломанных устройств.