Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Tehdit Aktörünün Bu Yılki Hedefleri Endonezya, Brunei’deki Devlet Kurumlarını Kapsıyor
Jayant Chakraborty (@JayJay_Tech) •
31 Mayıs 2023
Dark Pink adlı yeni ortaya çıkan bir tehdit aktörü, operasyonlarını yeni Güneydoğu Asya hedeflerine genişletirken tespit edilmekten kaçınmak amacıyla özel araç setini güncelliyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Group-IB, Çinli şirket Tencent’teki güvenlik araştırmacıları tarafından Saaiwc Group olarak da izlenen tehdit aktörünün artık kalıcılığı sağlamak için kötü amaçlı bir Microsoft Excel eklentisi kullandığını söyledi.
Tehdit istihbaratı şirketi, ilk olarak 2021’in ortalarında, özellikle Asya-Pasifik bölgesinde aktif hale gelen Dark Pink’in toplam 13 kurbanı sayıyor. Bu yıl şimdiye kadar, hedefleri arasında Brunei ve Endonezya’daki devlet kurumları yer alıyor. Group-IB ayrıca, Belçika’da Şubat 2022’de başlatılan bir eğitim kurumuna ve Ekim ayında başlatılan bir Tayland askeri teşkilatına yönelik bir saldırı tespit ettiğini söyledi. Daha önce tespit edilen kurbanlar arasında Vietnam, Filipinler, Malezya ve Kamboçya’daki hükümet, askeri ve dini kuruluşlar ile Bosna ve Hersek’teki bir hükümet bakanlığı yer alıyor.
Excel eklentisi, komut ve kontrol altyapısıyla virüslü bir cihaz her açıldığında değil, kurban Excel’i her başlattığında iletişim kurar. Dark Pink kötü amaçlı yazılımı, bulaşma işlemi sırasında Excel uzantısını indirerek grubun GitHub sayfasından alır. Dark Pink ayrıca sanal alan analizinden veya statik analiz yoluyla algılamadan kaçınmak için ikili dosyalarında şifre çözmeyi kullanır.
Hollandalı siber güvenlik şirketi EclecticIQ Mart ayında, Dark Pink aktörlerinin kötü amaçlı yazılıma karşı önlemlerden kaçınmak için iyileştirilmiş gizleme rutinleri kullandığını gözlemlediğini söyledi. APT grubu, Avrupa ve Asya-Pasifik ülkeleri arasındaki diplomatik anlaşmalara ilgi gösterdi; Dark Pink APT Grubu “Olasılıkla” Tekrar İş Başında).
Dark Pink, önceki saldırılarda olduğu gibi aynı bulaşma zincirini kullanmaya devam ediyor – kurbanları sahte bir MS Word belgesi, imzalı bir yürütülebilir dosya ve kötü amaçlı bir DLL dosyası içeren bir ISO dosyasını indirmeye ikna ediyor. DLL dosyası, Dark Pink aktörleri tarafından bir Telegram botu aracılığıyla bir Telegram kanalından gönderilen komutları yürüten KamiKakaBot adlı kötü amaçlı yazılımı başlatmak için bir MSBuild yardımcı programını kullanarak bir kötü amaçlı yazılım damlatıcı görevi görür. Bilgisayar korsanları, KamiKakaBot’a web tarayıcı verilerini çalmasını, komut dosyalarını indirip çalıştırmasını ve Telegram botuna ulaşmak için kullanılan tanımlayıcıyı güncellemesini söyleyebilir.
Dark Pink, güvenlik araştırmacılarının grubun faaliyetleri hakkındaki araştırmalarını kamuoyuna açıklamasından kısa bir süre sonra PowerShell betiklerini, zip arşivlerini ve özel kötü amaçlı yazılımları depolamak için yeni bir GitHub hesabına geçti.
Group-IB’nin GitHub deposu içeriğine ilişkin analizi, mesajlaşma uygulaması Zalo’dan bilgi çalmak için tasarlanmış bir aracın ve bilgisayar korsanlarının ayrıcalıkları yükseltmek ve PowerShell komutlarını başlatmak için kullandıkları bir aracın varlığını ortaya çıkardı. Dark Pink, dosyalarının URL’leri VirusTotal’a yüklendiğinde depoyu devre dışı bıraktı.