Singapur merkezli bir siber güvenlik firması olan Group-IB, bir APT grubu olan Dark Pink hakkında yeni bir rapor yayınladı.
Rapor, Dark Pink’in başarılı bir şekilde hedef aldığını vurguluyor. 9 ülkede 13 kuruluşkötü niyetli faaliyetlerinin kapsamını vurgulayarak.
2023 yılı boyunca, kötü şöhretli bilgisayar korsanlığı grubu Dark Pink APT, yüksek etkinlik seviyesini korudu.
Odak noktaları çeşitli yerlere sızmaktı. Endonezya, Brunei ve Vietnam’daki kuruluşlar.
Hedef alınan bu ülkeler grubun sürekli ilgisini çekmiş, bu da onların ısrarlı varlıklarının ve niyetlerinin altını çizmiştir.
Aşağıda, hedef alınan tüm kuruluşlardan bahsetmiştik:-
- Devlet kurumları
- Askeri kuruluşlar
- Eğitim kuruluşları
Dark Pink Tarafından Ele Geçirilen 5 Yeni Organizasyon
2021’in ortalarından beri faaliyet gösteren tehdit grubu, ağırlıklı olarak Asya-Pasifik bölgesindeki kuruluşları hedef almaya odaklandı.
Ancak faaliyetleri gündeme geldi. Ocak 2023’te ışık Group-IB tarafından hazırlanan kapsamlı bir rapor aracılığıyla.
Araştırmacılar, önceki tehdit aktörü faaliyetlerine ilişkin son analizlerinde önemli bulgular elde ettiler.
Bir eğitim enstitüsünü etkileyen ek güvenlik ihlallerini ortaya çıkardılar. Belçika ve Tayland’da bir askeri örgüt.
Yakın tarihli bir gelişmede, Group-IB uzmanları Dark Pink tarafından hedef alınan 5 ek kurban belirleyerek grubun kurban listesini genişletti.
Bu keşif, Dark Pink’in operasyonlarının coğrafi erişiminin ilk tahminlerin ötesine geçtiğini ortaya çıkardı ve bu da önceden tahmin edilenden daha geniş bir etkiye işaret ediyor.
Devam eden analizler, Dark Pink grubunun son saldırılarıyla kanıtlanan kalıcı faaliyetini doğruluyor.
Ocak ayında Brunei’de bir devlet bakanlığını hedef aldılar ve daha yakın bir tarihte Nisan 2023’te Endonezya’da bir devlet kurumuna saldırı düzenlediler.
Group-IB araştırmacıları, 2022’deki üç ek saldırıyı bu özel APT grubuna başarıyla bağladı.
Bu ilişkilendirme, grubu daha geniş bir yelpazedeki kötü niyetli faaliyetlere bağlayan kanıtları güçlendirirken.
İlk Erişim Vektörü
Dark Pink saldırıları, Group-IB araştırmacılarının gözlemlediği gibi, birincil ve ilk erişim vektörü olarak hedefli kimlik avı e-postalarına ısrarla güveniyor.
Araştırmacılar, Ocak 2023 bloglarında, grubun güvenliği ihlal edilmiş cihazlardan ve ağlardan dosya ve mesajlaşma verilerini çıkarmak için oldukça özelleştirilmiş bir araç seti kullandığını vurguladı.
Group-IB uzmanları tarafından yapılan son bulgular, Dark Pink APT grubunun özel araçlarını önemli ölçüde güncellediğini gösteriyor.
Bu modifikasyonlar, araçların işlevlerini değiştirerek grubun siber güvenlik sistemlerinin savunma mekanizmaları tarafından tespit edilmekten kaçınmasını sağlamayı amaçlıyor.
Grubun, virüs bulaşmış cihazlarda saklanan özelleştirilmiş KamiKakaBot modülü artık iki bölüme ayrıldı:-
- Cihaz kontrolü için bir tane
- Diğeri hassas verileri çalmak içindir.
Bunu ilgi çekici kılan şey, modülün her iki bölümünün de Telegram aracılığıyla tehdit aktörlerinden gelen komutlara duyarlı olmasıdır.
Group-IB’nin Tehdit İstihbaratı birimi, Dark Pink’in APT grubunun Ocak ayında ilk kez halka açıklanmasından kısa bir süre sonra oluşturulan yeni GitHub hesabını buldu.
Tehdit aktörleri, bu özel GitHub hesabından indirmeleri yönetmek için virüslü makineler üzerindeki kontrollerini kullanabilir.
Ayrıca, 9 Ocak – 11 Nisan 2023 tarihleri arasında Group-IB araştırmacıları, bu yeni tanımlanan hesaba yapılan 12 taahhüt keşfetti.
Grubun son saldırıları, TelePowerBot’un kalıcılığını sağlamak için bir MS Excel eklentisinden yararlanarak bir Webhook hizmeti kullanarak bir HTTP protokolü aracılığıyla çalınan verileri sızdırmayı içeriyor.
Sadece bununla da kalmayıp Group-IB, siber suçlara karşı sıfır tolerans politikasına uygun olarak Dark Pink saldırılarının tüm doğrulanmış ve potansiyel kurbanlarına yönelik proaktif uyarılar da yayınladı.
Cihaz Duruş Güvenliği ile Kimlik Avı Saldırılarını Durdurun – Ücretsiz E-Kitap İndirin