Hacker

Dark Pink APT ハッキング グループは 2023 年も引き続き活発に活動しており、インドネシア、ブルネイ、ベトナムの政府、軍、教育機関を標的にしていることが観察されています。

この脅威グループは、少なくとも 2021 年半ばから活動を続けており、主にアジア太平洋地域の組織をターゲットにしていましたが、 2023 年 1 月に Group-IB のレポートによって初めて暴露されました。

研究者らは、この攻撃者による以前の活動の兆候を分析した結果、ベルギーの教育機関とタイの軍事機関に対するさらなる侵害を発見したと報告しています。

ダークピンクの被害者を特定
特定されたダーク ピンクの被害者(グループ IB)

Group-IBによる以前の暴露にも関わらず、Dark Pinkは勢いが衰える気配を見せておらず、同社は前回のレポートの公開後に同グループによる少なくとも5件の攻撃を特定したと述べている。

最近の攻撃では、Dark Pink は刷新された攻撃チェーンを披露し、さまざまな永続化メカニズムを実装し、新しいデータ抽出ツールを導入しました。おそらく、公開されている IoC (侵害の兆候) から自社の業務を遠ざけることで検出を回避しようとしました。

浸潤と側方移動

Dark Pink 攻撃は、初期感染のためにスピア フィッシング経由で送信された ISO アーカイブに引き続き依存しており、DLL サイドローディングを使用して、その特徴的なバックドアである「TelePowerBot」と「KamiKakaBot」を起動します。

最近の攻撃チェーン
最近の攻撃チェーン(グループ IB)

新しい要素は、攻撃者が KamiKakaBot の機能をデバイス制御とデータ盗難の 2 つの部分に分割したことです。

また、インプラントはメモリからロードされるようになり、ディスクに触れることはありません。ウイルス対策ツールはメモリ内で開始されるプロセスを監視しないため、これは検出を回避するのに役立ちます。

KamiKakaBot は Web ブラウザに保存されているデータを引き続きターゲットにし、Telegram 経由で攻撃者に送信します。さらに、バックドアは侵害されたデバイス上で任意のスクリプトをダウンロードして実行する可能性があります。

Group-IB は、Dark Pink がプライベート GitHub リポジトリを使用して、マルウェアによって侵害されたシステムにダウンロードされた追加モジュールをホストしていることを発見しました。

脅威アクターは、2023 年を通じてそのリポジトリに対して 12 件のコミットのみを実行しました。主な目的は、マルウェア ドロッパー、PowerShell スクリプト、ZMsg 情報窃盗ツール、Netlua 権限昇格ツールの追加または更新でした。

脅威アクターによって実行されたコミット
脅威アクター(グループ IB)によって実行されたコミット

これらの PowerShell スクリプトの 1 つは、Dark Pink の水平方向の移動戦略にとって重要であり、ネットワーク内の SMB 共有を特定して対話するのに役立ちます。

このスクリプトは、GitHub から ZIP アーカイブを取得してローカル ディレクトリに保存し、アーカイブ内の悪意のある実行可能ファイルにリンクされた各 SMB 共有上に LNK ファイルを作成します。

これらの LNK ファイルが開かれると、悪意のある実行可能ファイルが起動され、ネットワーク全体での Dark Pink の伝播が促進され、その範囲が他のシステムに広がります。

Dark Pink はまた、PowerShell コマンドを使用して、侵害されたデバイス上に、操作に悪用できる正規のソフトウェアや開発ツールが存在するかどうかのチェックを実行します。

これらのツールには、「AccCheckConsole.exe」、「remote.exe」、「Extexport.exe」、「MSPUB.exe」、「MSOHTMED.exe」が含まれており、プロキシの実行や追加のペイロードのダウンロードなどに悪用される可能性があります。

ただし、Group-IB は、観察された攻撃においてこれらのツールの悪用例は確認されていないと述べています。

ファイルチェックコマンド
ファイルチェックコマンド(グループIB)

新しいデータ盗難戦術

Group-IB の報告によると、Dark Pink は現在、ZIP アーカイブを Telegram チャネルに送信するだけではなく、そのデータ抽出方法の多様性を実証しています。

アナリストが確認した一部のケースでは、攻撃者は DropBox アップロードを使用しましたが、他のケースでは、「Webhook.site」サービスまたは Windows サーバーで作成された一時エンドポイントを使用した HTTP 流出が使用されました。

前述のスクリプトには、侵害されたコンピューター上のターゲット ファイルの場所を定義した後、PUT メソッドを使用して外部アドレスにファイルをアップロードする新しい WebClient オブジェクトを作成することにより、データを抽出する機能もあります。

Group-IB は、Dark Pink の脅威アクターは以前の暴露に懲りておらず、今も止める可能性は低いと結論付けています。

おそらく、攻撃者はツールを更新し続け、可能な限り手法を多様化するでしょう。