bu Koyu pembe gelişmiş kalıcı tehdit (APT) aktörü, KamiKakaBot adlı bir kötü amaçlı yazılımla Güneydoğu Asya ülkelerindeki hükümet ve askeri kuruluşları hedef alan yeni bir dizi saldırıyla ilişkilendirildi.
Saaiwc olarak da adlandırılan Dark Pink, ilk olarak bu yılın başlarında Group-IB tarafından profili çıkarıldı ve keyfi komutları çalıştırmak ve hassas bilgileri sızdırmak için TelePowerBot ve KamiKakaBot gibi özel araçları kullandığını açıkladı.
Tehdit aktörünün Asya-Pasifik kökenli olduğundan şüpheleniliyor ve en azından 2021’in ortalarından beri aktif durumda ve 2022’de artan bir tempo gözlemleniyor.
Hollandalı siber güvenlik şirketi EclecticIQ, geçen hafta yayınladığı yeni bir raporda, “Şubat 2023’te gerçekleşen son saldırılar, önceki saldırılarla neredeyse aynıydı.”
“Şubat kampanyasındaki temel fark, kötü amaçlı yazılımın gizleme rutininin, kötü amaçlı yazılıma karşı önlemlerden daha iyi kaçınmak için geliştirilmiş olmasıdır.”
Saldırılar, kötü amaçlı yazılımı dağıtmak için e-posta mesajlarında ISO görüntü dosyası ekleri içeren sosyal mühendislik tuzakları şeklinde gerçekleşir.
ISO görüntüsü, bir yürütülebilir dosya (Winword.exe), bir yükleyici (MSVCR100.dll) ve KamiKakaBot yükü ile gömülü olarak gelen bir sahte Microsoft Word belgesi içerir.
Yükleyici, kendi adına, güvenlik korumalarından kaçınmak ve onu Winword.exe ikili dosyasının belleğine yüklemek için DLL yandan yükleme yöntemini kullanarak KamiKakaBot kötü amaçlı yazılımını yüklemek için tasarlanmıştır.
KamiKakaBot, öncelikle web tarayıcılarında depolanan verileri çalmak ve Komut İstemi’ni (cmd.exe) kullanarak uzaktan kod yürütmek için tasarlanırken, aynı zamanda kurban ortamlarına uyum sağlamak ve algılamayı engellemek için kaçırma tekniklerini benimsiyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Güvenliği ihlal edilmiş ana bilgisayarda kalıcılık, Winlogon Helper kitaplığının kötü amaçlı Windows Kayıt defteri anahtarı değişiklikleri yapmak için kötüye kullanılmasıyla sağlanır. Toplanan veriler daha sonra bir ZIP arşivi olarak bir Telegram botuna sızar.
Amsterdam merkezli şirket, “Telegram gibi yasal web hizmetlerinin bir komuta ve kontrol (C2) sunucusu olarak kullanılması, sıradan siber suçlulardan gelişmiş kalıcı tehdit aktörlerine kadar farklı tehdit aktörleri için bir numaralı tercih olmaya devam ediyor.” söz konusu.
“Dark Pink APT grubu, büyük olasılıkla, Şubat 2023 kampanyası sırasında kimlik avı tuzakları oluşturmak için ASEAN ile Avrupa ülkeleri arasındaki ilişkileri özel olarak kullanan, siber casusluk güdümlü bir tehdit aktörüdür.”