安全公司Group-IB发现一系列由新兴黑客组织Dark Pink所发起的APT攻击,Dark Pink攻击活动最早可追溯到2021年中旬,在2022年中之后更为活跃,目前研究人员已经确认Dark Pink所发动的7次攻击行动,包括针对菲律宾、马来西亚军方单位,以及柬埔寨、印尼、波西尼亚和赫塞哥维纳政府单位,还有一个越南宗教团体。
Dark Pink之所以特别受到关注,是因为他们主要锁定军方和政府部门发动攻击,Dark Pink采用了过去已知APT攻击少见的策略、技术和程序,他们使用自己开发的TelePowerBot、KamiKakaBot恶意软件,以及Cucky、Ctealer资讯窃取程序(这些名称皆为Group-IB命名),窃取政府和军方网络上的机密文件,研究人员特别提到,Dark Pink还能够感染连接到受感染计算机的USB设备,并且访问受感染计算机上的通信软件。
第一次被确认的Dark Pink入侵行动发生在2022年6月,但是部分线索显示Dark Pink在2021年就开始行动,攻击者在感染设备后,可以向受感染的计算机发送命令,从GitHub下载由攻击者上传的恶意文件,令人惊讶的是,攻击者在整个APT行动,都仅使用同一个GitHub账户上传恶意文件,这代表他们能够长时间隐藏行踪不被发现。
Group-IB研究人员分析Dark Pink的攻击手法,整个攻击从鱼叉式网络钓鱼邮件开始,攻击者冒充求职者申请公关等特定实习生职位,研究人员提到,这代表攻击者会扫描职缺网站,并且针对组织制作专属的钓鱼邮件。钓鱼邮件包含短网址连接到免费的文件共享网站,受害者便有机会下载其中的恶意ISO文件,ISO文件内置经签章的可执行文件、非恶意的诱饵文件,以及恶意的DLL文件。
图片来源/Group-IB
受害者下载到的文件内容和类型都不尽相同,目前发现存在三条独立的攻击链,第一条攻击链是当受害者挂载ISO文件后,DLL文件会通过侧加载的方式开始攻击程序,第二条攻击链则是在初始访问后,自动下载GitHub上包含宏程序代码的模板文件,第三条攻击链也是最近2022年12月才发现的,Dark Pink会通过XML文件来启动恶意程序,该XML文件是一个包含.NET程序代码的MSBuild项目,能够启动Dark Pink自己开发的恶意程序。
从Dark Pink的攻击工具和多样攻击链,凸显了Dark Pink攻击的复杂性。TelePowerBot和KamiKakaBot(下图)这两个由Dark Pink开发的攻击程序,分别以PowerShell和.NET编写,能够通过Telegram机器人从攻击者控制的Telegram频道读取和执行命令,研究人员指出,攻击者和受害者设备间的通信完全依赖Telegram API,并且使用包括绕过用户账户控制等回避技术,避免被发现。
图片来源/Group-IB
Cucky(下图)和Ctealer则是两个人信息讯窃取程序,在受害者计算机上启动时,资讯窃取程序就能够从数十种网络浏览器中窃取帐密、历史记录和Cookie等资讯。攻击者也编写脚本,将恶意软件传输到连接计算机的USB设备上,或是通过网络共享传播恶意软件。Dark Pink会以自定义程序ZMsg,从受害者设备上的Zalo Messenger窃取资料,同时也有证据显示,Dark Pink也能够窃取Viber和Telegram资料。
图片来源/Group-IB
Dark Pink唯一使用的现成攻击工具是PowerSploit模块Get-MicrophoneAudio,经过自订可从GitHub下载到受害者计算机中,有能力绕过杀毒软件并且记录音频输入,接着通过Telegram机器人泄露这些录音。
研究人员提到,在亚太地区的APT攻击,主要动机通常不是经济利益而是间谍活动。Group-IB已经完整公开Dark Pink攻击的详细资讯,并主动通知所有潜在和已确认的攻击目标,Group-IB在撰写博客文章的同时,Dark Pink依然活跃。