Die neue dunkelrosa APT-Gruppe zielt auf Regierung und Militär im asiatisch-pazifischen Raum ab

Eine neue APT-Gruppe namens Dark Pink hat Militär- und Regierungsbehörden in zahlreichen Ländern im asiatisch-pazifischen Raum ins Visier genommen, um wertvolle Dokumente zu extrahieren.

Dunkelrosa APT-Gruppe nimmt Ziel und Militär und Regierung

Es wurde festgestellt, dass zwischen Juni und Dezember 2022 eine Reihe von Advanced Persistent Threat (APT)-Angriffen von einer Gruppe namens Dark Pink gestartet wurden. Die Angriffe wurden gegen mehrere Länder im asiatisch-pazifischen Raum gestartet, darunter Kambodscha, Vietnam, Malaysia, Indonesien, und die Philippinen. Auch ein europäisches Land, Bosnien und Herzegowina, wurde ins Visier genommen.

Die Dark Pink-Angriffe wurden zuerst von Albert Priego, einem Malware-Analysten der Group-IB, entdeckt. In einem Blogbeitrag der Group-IB zu den Vorfällen wurde festgestellt, dass die böswilligen Dark Pink-Operatoren „einen neuen Satz von Taktiken, Techniken und Verfahren nutzen, die von zuvor bekannten APT-Gruppen selten verwendet werden“. Genauer gesagt, Group-IB schrieb über ein benutzerdefiniertes Toolkit mit vier verschiedenen Infostealern: TelePowerBot, KamiKakaBot, Cucky und Ctealer.

Diese Infostealer werden von Dark Pink verwendet, um wertvolle Dokumente zu extrahieren, die in Regierungs- und Militärnetzwerken gespeichert sind.

Spear-Phishing-Kampagnen waren der ursprüngliche Vektor der Angriffe von Dark Pink, bei denen sich die Betreiber als Bewerber ausgeben würden. Group-IB stellte außerdem fest, dass Dark Pink die Fähigkeit hat, USB-Geräte zu infizieren, die an kompromittierte Computer angeschlossen sind. Darüber hinaus kann Dark Pink auf die Messenger zugreifen, die auf den infizierten Computern installiert sind.

Group-IB hat auf seiner Twitter-Seite eine Infografik zu den Dark-Pink-Angriffen geteilt, wie unten gezeigt.

Während die meisten Angriffe in Vietnam stattfanden (wobei einer erfolglos blieb), fanden insgesamt fünf weitere Angriffe auch in anderen Nationen statt.

Die Betreiber von Dark Pink sind derzeit unbekannt

Zum Zeitpunkt des Schreibens sind die Betreiber hinter Dark Pink noch unbekannt. Group-IB erklärte jedoch in dem oben genannten Beitrag, dass „eine Mischung aus nationalstaatlichen Bedrohungsakteuren aus China, Nordkorea, Iran und Pakistan“ mit APT-Angriffen in asiatisch-pazifischen Ländern in Verbindung gebracht wurde. Es wurde jedoch festgestellt, dass Dark Pink anscheinend bereits Mitte 2021 entstanden ist, wobei Mitte 2022 ein Anstieg der Aktivität einsetzte.

Group-IB stellte auch fest, dass das Ziel solcher Angriffe oft darin besteht, Spionage zu begehen, anstatt finanzielle Vorteile zu erzielen.

Die dunkelrosa APT-Gruppe bleibt aktiv

In seinem Blogbeitrag informierte Group-IB die Leser darüber, dass die Dark Pink APT-Gruppe zum Zeitpunkt der Erstellung dieses Artikels (11. Januar 2023) weiterhin aktiv ist. Da die Angriffe erst Ende 2022 endeten, untersucht Group-IB das Problem immer noch und bestimmt seinen Umfang.

Das Unternehmen hofft, die Betreiber dieser Angriffe aufzudecken, und erklärte in seinem Blogbeitrag, dass die zu dem Vorfall durchgeführten Voruntersuchungen „einen großen Beitrag dazu leisten sollten, das Bewusstsein für die neuen TTPs zu schärfen, die von diesem Bedrohungsakteur verwendet werden, und Organisationen dabei zu helfen, die entsprechenden Maßnahmen zu ergreifen Schritte, um sich vor einem potenziell verheerenden APT-Angriff zu schützen“.

APT-Gruppen stellen eine enorme Sicherheitsbedrohung dar

Advanced Persistent Threat (APT)-Gruppen stellen ein enormes Risiko für Unternehmen auf der ganzen Welt dar. Da die Methoden der Cyberkriminalität immer raffinierter werden, ist nicht abzusehen, welche Art von Angriff APT-Gruppen als nächstes starten werden und welche Folgen dies für das Ziel haben wird.