Regierungs- und Militäreinrichtungen im asiatisch-pazifischen Raum werden nach neuesten Erkenntnissen von einem bisher unbekannten APT-Akteur (Advanced Persistent Threat) angegriffen.
Das in Singapur ansässige Unternehmen Group-IB berichtet in einem Bericht an The Hacker News, dass es die laufende Kampagne unter dem Namen Dark Pink verfolgt und dem gegnerischen Kollektiv sieben erfolgreiche Angriffe zwischen Juni und Dezember 2022 zuschreibt.
Die meisten Angriffe richteten sich gegen militärische Einrichtungen, Ministerien und Behörden sowie religiöse und gemeinnützige Organisationen in Kambodscha, Indonesien, Malaysia, den Philippinen, Vietnam und Bosnien und Herzegowina; ein erfolgloses Eindringen wurde gegen eine ungenannte staatliche europäische Entwicklungseinrichtung in Vietnam gemeldet.
Man schätzt, dass die Bedrohung bereits Mitte 2021 begonnen hat, obwohl die Angriffe erst ein Jahr später mit einem noch nie dagewesenen Toolkit, das darauf ausgelegt ist, wertvolle Informationen aus kompromittierten Netzwerken zu erbeuten, ausgeweitet wurden.
„Die Hauptziele der Dark Pink APT sind Unternehmensspionage, der Diebstahl von Dokumenten, das Abhören von Mikrofonen infizierter Geräte und die Exfiltration von Daten aus Messenger-Diensten“, sagte Group-IB-Forscher Andrey Polovinkin und beschrieb die Aktivitäten als „hochkomplexe APT-Kampagne, die von erfahrenen Bedrohungsakteuren gestartet wurde“.
Zusätzlich zu ihrem ausgeklügelten Malware-Arsenal wurde die Gruppe dabei beobachtet, wie sie Spear-Phishing-E-Mails zur Einleitung ihrer Angriffe sowie die Telegram-API für die Command-and-Control (C2)-Kommunikation nutzte.
Bemerkenswert ist auch die Nutzung eines einzigen GitHub-Kontos für das Hosting von Schadmodulen, das seit Mai 2021 aktiv ist, was darauf hindeutet, dass Dark Pink seit über 1,5 Jahren unentdeckt operieren konnte.
Die Dark Pink-Kampagne zeichnet sich außerdem durch mehrere Infektionsketten aus, bei denen die Phishing-Nachrichten einen Link zu einer gefälschten ISO-Image-Datei enthalten, um den Prozess der Malware-Installation zu aktivieren. In einem Fall gaben sich die Angreifer als Bewerber für ein PR-Praktikum aus.
Es wird auch vermutet, dass die Hacker Jobbörsen durchforsten, um ihre Botschaften anzupassen und die Erfolgswahrscheinlichkeit ihrer Social Engineering-Angriffe zu erhöhen.
Das ultimative Ziel ist es, TelePowerBot und KamiKakaBot einzusetzen, die in der Lage sind, Befehle auszuführen, die über einen von einem Akteur gesteuerten Telegram-Bot gesendet werden, und zusätzlich maßgeschneiderte Tools wie Ctealer und Cucky zu verwenden, um Anmeldedaten und Cookies von Webbrowsern abzuschöpfen.
Während Ctealer in C/C++ geschrieben ist, ist Cucky ein .NET-Programm. Eine weitere maßgeschneiderte Malware ist ZMsg, eine .NET-basierte Anwendung, mit der Dark Pink Nachrichten abfangen kann, die über Messaging-Apps wie Telegram, Viver und Zalo verschickt werden.
Eine andere von Group-IB identifizierte Kill Chain nutzt ein in der ISO-Datei enthaltenes Täuschungsdokument, um eine Makro-aktivierte Vorlage von GitHub abzurufen, die wiederum TelePowerBot, eine PowerShell-Skript-Malware, beherbergt.
Das ist noch nicht alles. Eine dritte Methode, die im Dezember 2022 entdeckt wurde, ist der Start von KamiKakaBot, einer .NET-Version von TelePowerBot, mit Hilfe einer XML-Datei, die ein MSBuild-Projekt enthält, das sich am Ende eines verschlüsselten Word-Dokuments befindet. Die Word-Datei befindet sich in einem ISO-Image, das dem Opfer in einer Spearphishing-E-Mail zugeschickt wird.
„Die Bedrohungsakteure, die hinter dieser Angriffswelle stecken, waren in der Lage, ihre Tools in verschiedenen Programmiersprachen zu entwickeln, was ihnen bei ihren Versuchen, in die Verteidigungsinfrastruktur einzudringen und sich in den Netzwerken der Opfer festzusetzen, Flexibilität verschaffte“, erklärt Polovinkin.
Nach einer erfolgreichen Kompromittierung folgen Aufklärungs-, Lateralisierungs- und Datenexfiltrationsaktivitäten, wobei die Angreifer in einigen Fällen auch Dropbox und E-Mail nutzen, um interessante Dateien zu übertragen. Ein öffentlich verfügbares PowerSploit-Modul wird auch eingesetzt, um Mikrofon-Audio auf den Geräten aufzuzeichnen und Befehle auszuführen, um angeschlossene USB-Festplatten zu infizieren und die Malware zu verbreiten.
„Die Verwendung eines fast vollständig benutzerdefinierten Toolkits, fortschrittliche Umgehungstechniken, die Fähigkeit der Bedrohungsakteure, ihre Malware zu überarbeiten, um maximale Effektivität zu gewährleisten, und das Profil der anvisierten Organisationen zeigen die Bedrohung, die von dieser Gruppe ausgeht“, so Polovinkin.