Şimdiye kadar Group-IB’deki siber güvenlik araştırmacıları, Dark Pink bilgisayar korsanları tarafından gerçekleştirilen yedi doğrulanmış saldırıyı ortaya çıkardı.
Group-IB’nin yakın tarihli blogu, daha önce görülenden daha tehlikeli casusluk teknikleri ve prosedürlerini gündeme getiren nispeten yeni bir gelişmiş kalıcı tehdit (APT) grubu hakkında uyarıda bulunuyor.
Group-IB analistleri tarafından ‘Dark Pink’ olarak etiketlendi; bu APT grubu, Asya-Pasifik (APAC) bölgesini vuran yeni bir saldırı dalgasının arkasında.
Bu APT grubu, Çinli siber güvenlik araştırmacıları tarafından Saaiwc Grubu olarak da adlandırıldı. GitHub hesabında faaliyet tespit eden Group-IB araştırmacılarına göre Dark Pink’in operasyonları 2021’in ortalarına kadar uzanabilir. Bununla birlikte, grubun etkinliği 2022’nin ortasından sonlarına kadar olan dönemde arttı.
Group-IB ayrıntılı raporunda, sektör lideri Tehdit İstihbaratının Dark Pink tarafından onaylanmış yedi saldırıyı ortaya çıkardığını belirtiyor. Bu saldırıların çoğu APAC bölgesinde gerçekleşti ve yalnızca biri bir Avrupa hükümet bakanlığına karşı gerçekleştirildi.
“Doğrulanan kurbanlar arasında Filipinler ve Malezya’da iki askeri kurum, Kamboçya, Endonezya ve Bosna-Hersek’te devlet kurumları ve Vietnam’da bir dini örgüt yer alıyor. Group-IB, Vietnam merkezli bir Avrupa devlet kalkınma ajansına yönelik başarısız bir saldırının da farkına vardı.”
Dark Pink’in saldırılarını bu kadar etkili kılan şey, APT grupları arasında daha önce nadiren görülen yeni bir dizi taktik, teknik ve prosedür kullanmalarıdır. Özel araç takımları TelePowerBot, KamiKakaBot ve Cucky ve Ctealer bilgi hırsızlarından oluşur (tüm isimler Group-IB tarafından verilmiştir). Ayrıca, güvenliği ihlal edilmiş bilgisayarlara bağlı USB aygıtlarına virüs bulaştırabilir ve virüslü makinelerdeki habercilere erişim sağlayabilirler.
Dark Pink’in ilk erişim elde etmek için kullandığı hedef odaklı kimlik avı e-postalarından biri, Group-IB tarafından bulundu. Bu özel örnekte, tehdit aktörü, Halkla İlişkiler ve İletişim stajyeri pozisyonuna başvuran bir iş başvurusunda bulunan kişi olarak tanıtılmıştır.
E-postada, tehdit aktörü boş pozisyonu bir iş arayan sitesinde bulduklarından bahsediyor. Bu, yalnızca bu kimlik avı e-postalarının bu kadar tehdit edici hale gelmeleri için ne kadar dikkatli bir şekilde düzenlendiğini gösterir.
Bahsi geçen saldırıda, e-posta, kurbanın bir ISO görüntüsü indirmeyi seçebileceği, kullanımı ücretsiz bir dosya paylaşım sitesine bağlantı veren kısaltılmış bir URL içeriyordu. Bu, tehdit aktörlerinin kurbanın ağına bulaşması için gereken tüm dosyaları içerir.
Bu durumda, kurban muhtemelen başvuranın sözde başvuranın genellikle bir MS Word belgesi olarak gönderilen özgeçmişini arayacaktır, ancak tehdit faili bir MS Word dosyasını taklit eden bir .exe dosyası eklemiştir. Tehdit aktörleri, MS Word simgesini kullanarak ve dosya adına “.doc” yazarak kurbanın kafasını, dosyanın güvenli bir şekilde açılabileceğine inandırmaya çalıştı.
Group-IB, Dark Pink’in öldürme zincirleri, ilk erişim, keşif ve yanal hareket, veri sızdırma, kaçırma teknikleri ve araçlarıyla ilgili tüm bulgularını detaylandırıyor. Bu ön araştırmanın, siber güvenlik uzmanlarının Dark Pink tarafından kullanılan yeni TTP’ler hakkında farkındalık yaratmasına olanak sağlayacağını ve kuruluşların kendilerini potansiyel olarak yıkıcı APT saldırılarından korumak için ilgili adımları atmalarına yardımcı olacağını umuyorlar.
Amacımız, yeni TTP’lerden yararlanan APT gruplarının zararlı etkilerine ışık tutmanın yanı sıra, kuruluşların kendilerini hedefli ve son derece belirleyici saldırılardan korumak için alabilecekleri bir dizi önlemi vurgulamaktır.
Kuruluşların daha güvenli bir iş yeri kültürü geliştirmek için atabilecekleri bazı adımlar şunlardır:
- Spear-phishing e-postaları yoluyla ilk ele geçirmeyi önleyerek bilgisayar korsanlığı kampanyalarını daha ilk adımda engellemede son derece etkili olan modern e-posta koruma önlemlerini kullanın.
- Personelinizi kimlik avı e-postalarını tespit etmeleri ve neden olabilecekleri zararlar konusunda eğitmeleri için eğitin.
- Güvenlik önlemlerinizin, otomatik olarak algılanamayan tehditlerin belirlenmesine yardımcı olabilecek proaktif tehdit avcılığına izin verdiğinden emin olun.
- Kuruluş içinde kullanılanlar dışında, dosya paylaşım kaynaklarına erişimi sınırlayın.
- Ağ sürücüleri ve USB aygıtları gibi alışılmadık konumlarda LNK dosyalarının oluşturulmasını izleyin.
- Sistem ve dosyalar hakkında bilgi toplamak için sıklıkla kullanılan komutların ve yerleşik araçların her türlü kullanımını gözlemlediğinizden emin olun.
Alakalı haberler
- NK APT37, SK’de Dolphin Backdoor’u Serbest Bıraktı
- Akıllı Twitter Şeması ile Hedefleri Yakalayan APT Grupları
- Kötü amaçlı Office belgeleri, tüm kötü amaçlı yazılım indirmelerinin %43’ünü oluşturur
- Windows, Linux ve macOS Kullanıcıları Çinli Demir Kaplan Grubunun Vurduğu
- Indian APT, kendi cihazlarına virüs bulaştırarak Modus Operandi’yi ifşa ediyor