Cảnh báo trên được đưa ra bởi các nhà nghiên cứu của công ty an ninh mạng Group-IB (Singapore) công bố hôm 31/5/2023. Dark Pink đã xâm nhập 5 mục tiêu mới bằng cách sử dụng phần mềm độc hại tinh vi và email lừa đảo. Được biết, nhóm tin tặc này đã hoạt động ít nhất từ giữa năm 2021, chủ yếu nhắm mục tiêu vào các thực thể ở khu vực Châu Á - Thái Bình Dương, nhưng lần đầu tiên nhóm này bị phát hiện là vào tháng 1/2023 bởi một báo cáo kỹ thuật của Group-IB.
Các nhà nghiên cứu cho biết rằng sau khi phân tích các dấu hiệu hoạt động trước đây của Dark Pink, giờ đây họ đã phát hiện thêm các hành vi vi phạm đối với một cơ quan quân sự ở Thái Lan, một tổ chức phi lợi nhuận tại Việt Nam, các cơ quan chính phủ của Brunei, Indonesia, bên cạnh đó là một cơ sở giáo dục ở Bỉ.
Xác định các nạn nhân của Dark Pink
Bất chấp công bố trước đó về các hoạt động tấn công mạng, Dark Pink vẫn chưa có bất kỳ dấu hiệu dừng lại nào, theo Group-IB cho biết họ đã xác định được ít nhất 5 cuộc tấn công do Dark Pink thực hiện sau khi công bố báo cáo trước đó. Trong các cuộc tấn công gần đây, Dark Pink đã thực hiện một chuỗi tấn công được cải tiến, xây dựng các cơ chế duy trì khác nhau và triển khai các công cụ đánh cắp dữ liệu mới, có khả năng cố gắng tránh bị phát hiện bằng cách tách hoạt động của chúng ra khỏi các IoC có sẵn công khai.
Xâm nhập và chuyển động bên
Các cuộc tấn công của Dark Pink tiếp tục dựa vào các tệp lưu trữ ISO được gửi thông qua các email lừa đảo trực tuyến để lây nhiễm ban đầu, sử dụng kỹ thuật DLL Side-Loading để khởi chạy backdoor đặc trưng của nó, bao gồm “TelePowerBot” và “KamiKakaBot”.
Chuỗi tấn công gần đây của Dark Pink
Một yếu tố mới trong chiến dịch tấn công lần này là tin tặc hiện đã phân chia các chức năng của KamiKakaBot thành hai phần, đó là kiểm soát thiết bị và đánh cắp dữ liệu. Ngoài ra, payload độc hại được tải từ bộ nhớ, điều này giúp tránh bị phát hiện vì các công cụ chống vi-rút không theo dõi các quy trình bắt đầu trong bộ nhớ. KamiKakaBot tiếp tục nhắm mục tiêu dữ liệu được lưu trữ trong trình duyệt web và gửi nó cho tin tặc qua Telegram. Hơn nữa, backdoor có thể tải xuống và thực thi các tập lệnh tùy ý trên thiết bị bị xâm nhập.
Group-IB đã phát hiện ra rằng Dark Pink sử dụng GitHub riêng để lưu trữ các mô-đun bổ sung do phần mềm độc hại của chúng tải xuống các hệ thống bị xâm nhập. Tin Nhóm tặc chỉ truy cập 12 lần trên kho lưu trữ đó kể từ đầu năm 2023 đến nay, chủ yếu để thêm hoặc cập nhật trình phân phối phần mềm độc hại, tập lệnh PowerShell, trình đánh cắp thông tin ZMsg và công cụ leo thang đặc quyền Netlua. Một trong những tập lệnh PowerShell này rất quan trọng đối với chiến lược di chuyển bên của Dark Pink, giúp xác định và tương tác với hệ thống tệp chia sẻ SMB trong mạng.
Tập lệnh tìm nạp một kho lưu trữ ZIP từ GitHub, lưu nó vào một thư mục cục bộ, sau đó tạo các tệp LNK trên mỗi tệp chia sẻ SMB được liên kết với tệp thực thi độc hại trong kho lưu trữ. Khi các tệp LNK này được mở, chúng sẽ khởi chạy tệp thực thi độc hại, tiếp tục lây nhiễm trên mạng và mở rộng phạm vi tiếp cận của chúng sang các hệ thống khác.
Dark Pink cũng sử dụng các lệnh PowerShell để thực hiện kiểm tra sự hiện diện của phần mềm hợp pháp và các công cụ phát triển trên thiết bị bị xâm nhập mà chúng có thể lạm dụng cho các hoạt động của mình. Những công cụ này bao gồm “AccCheckConsole.exe”, “remote.exe”, “Extexport.exe”, “MSPUB.exe” và “MSOHTMED.exe” có thể bị khai thác để thực thi proxy, tải xuống các payload bổ sung. Tuy nhiên, Group-IB lưu ý rằng họ chưa thấy các ví dụ về việc lạm dụng các công cụ này trong các cuộc tấn công được quan sát.
Các lệnh kiểm tra tệp
Chiến thuật đánh cắp dữ liệu mới
Group-IB cho biết Dark Pink hiện thể hiện sự đa dạng trong phương pháp trích xuất dữ liệu của mình, ngoài việc gửi các tệp lưu trữ ZIP tới các kênh Telegram. Trong một số trường hợp mà các nhà nghiên cứu phân tích thấy, nhóm tin tặc đã sử dụng DropBox, trong khi ở những trường hợp khác sử dụng quá trình trích xuất HTTP bằng điểm cuối tạm thời được tạo bằng dịch vụ “Webhook.site” hoặc máy chủ Windows.
Các tập lệnh được đề cập trước đó cũng có khả năng trích xuất dữ liệu bằng cách tạo đối tượng WebClient mới để tải tệp lên địa chỉ bên ngoài bằng phương thức PUT sau khi xác định vị trí của tệp mục tiêu trên máy tính bị xâm nhập.
Nhà nghiên cứu Andrey Polovinkin của Group-IB nhận xét“Ngày càng có nhiều bằng chứng cho thấy Dark Pink không phải là chiến dịch một lần được thực hiện bởi một nhóm APT đã được biết, mà là một mối đe dọa khác biệt và liên tục gia tăng”, ông cũng đề cập đến các mối đe dọa dai dẳng hoặc lén lút được một chính phủ tài trợ và cảnh báo về nguy cơ rò rỉ dữ liệu bí mật có thể gây thiệt hại ở mức độ lớn.
Group-IB kết luận rằng nhiều khả năng các tin tặc sẽ tiếp tục cập nhật các công cụ của chúng và đa dạng hóa các phương pháp của chúng nhiều nhất có thể.
Hồng Đạt
(Bleepingcomputer)
14:00 | 19/05/2023
07:00 | 22/05/2023
07:00 | 28/07/2023
13:00 | 06/12/2022
10:00 | 03/08/2023
15:00 | 12/07/2023
14:00 | 06/12/2024
Các nhà nghiên cứu của Công ty an ninh mạng Trend Micro (Nhật Bản) cho biết, nhóm tin tặc do nhà nước Trung Quốc hậu thuẫn là Salt Typhoon đã sử dụng backdoor GhostSpider mới trong các cuộc tấn công vào các nhà cung cấp dịch vụ viễn thông.
14:00 | 27/11/2024
Công ty an ninh mạng BlackBerry (Canada) cho biết, nhóm tin tặc APT41 của Trung Quốc đứng sau phần mềm độc hại LightSpy iOS đã mở rộng bộ công cụ của chúng bằng DeepData, một framework khai thác mô-đun trên Windows, được sử dụng để thu thập nhiều loại thông tin từ các thiết bị mục tiêu. Bài viết này sẽ tìm hiểu về các plugin DeepData dựa trên báo cáo của BlackBerry.
10:00 | 21/11/2024
Tòa án liên bang Mỹ tại quận phía Bắc California đã bác vụ kiện cáo buộc Google thu lợi bất chính từ các vụ lừa đảo thẻ quà tặng Google Play.
10:00 | 27/10/2024
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024