Cyberthreat.od – Perusahaan keamanan siber Group-IB, mengungkapkan salah satu grup APT yang disebut Dark Pink menargetkan lembaga pemerintah dan badan militer di beberapa negara di kawasan APAC, menggunakan malware khusus untuk mencuri informasi rahasia.

Dikutip dari Bleeping Computer, dalam laporan terbarunya, toolkit khusus yang diamati dalam serangan dapat digunakan untuk mencuri informasi dan menyebarkan malware melalui drive USB. Aktor tersebut menggunakan metode eksekusi DLL side-loading dan event-triggered untuk menjalankan muatannya pada sistem yang disusupi.

“tujuan aktor ancaman adalah untuk mencuri informasi dari browser korban, mendapatkan akses ke messenger, mengekstraksi dokumen, dan menangkap audio dari mikrofon perangkat yang terinfeksi,” kata Group-IB.

Dianggap sebagai ancaman persisten lanjutan (APT), Dark Pink telah meluncurkan setidaknya tujuh serangan sukses antara Juni dan Desember 2022.

Menurut Group-IB, vektor serangan awal khas Dark Pink adalah email spear-phishing yang disamarkan sebagai lamaran pekerjaan, yang menipu korban agar mengunduh file gambar ISO berbahaya. Di luar langkah ini, Grup-IB melihat banyak variasi dalam rantai serangan.

Salah satunya menggunakan file ISO all-inclusive yang menyimpan dokumen umpan, file yang dapat dieksekusi yang ditandatangani, dan file DLL berbahaya, yang menyebabkan penggelaran salah satu dari dua pencuri informasi khusus yang digunakan oleh grup (Ctealer atau Cucky) melalui pemuatan sisi DLL. Pada tahap selanjutnya, implan registri yang disebut TelePowerBot akan dijatuhkan.

“Rantai serangan lain menggunakan dokumen Microsoft Office (.DOC) di dalam file ISO. Saat korban membuka file, templat dengan makro jahat diambil dari GitHub, bertugas memuat TelePowerBot dan melakukan perubahan registri Windows,” kata Group-IB.

Rantai serangan ketiga yang diamati pada Desember 2022 identik dengan yang pertama. Namun, alih-alih memuat TelePowerBot, file ISO berbahaya dan teknik pemuatan samping DLL memuat malware khusus lainnya yang oleh peneliti disebut KamiKakaBot, yang dirancang untuk membaca dan menjalankan perintah.

Group-IB mengatakan, Cucky dan Ctealer masing-masing adalah pencuri info khusus yang ditulis dalam .NET dan C++. Keduanya berupaya menemukan dan mengekstrak kata sandi, riwayat penelusuran, login tersimpan, dan cookie dari daftar panjang browser web: Chrome, Microsoft Edge, CocCoc, Chromium, Brave, Atom, Uran, Sputnik, Slimjet, Epic Privacy, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Browser Aman Avast, dan Browser Yandex.

TelePowerBot adalah implan registri yang diluncurkan melalui skrip saat boot sistem dan terhubung ke saluran Telegram dari mana ia menerima perintah PowerShell untuk dieksekusi. Selama infeksi, pelaku ancaman menjalankan beberapa perintah standar (mis. Net share, Get-SmbShare) untuk menentukan sumber daya jaringan apa yang terhubung ke perangkat yang terinfeksi.

“Jika penggunaan disk jaringan ditemukan, mereka akan mulai menjelajahi disk ini untuk menemukan file yang mungkin menarik bagi mereka dan berpotensi mengekstraknya,” kata Group-IB

KamiKakaBot adalah TelePowerBot versi .NET, yang juga dilengkapi dengan kemampuan mencuri informasi, menargetkan data yang disimpan di browser berbasis Chrome dan Firefox. Selain alat tersebut, Dark Pink juga menggunakan skrip untuk merekam suara melalui mikrofon setiap menit. Data disimpan sebagai arsip ZIP di folder sementara Windows sebelum dieksfiltrasi ke bot Telegram.

Demikian pula, pelaku ancaman menggunakan utilitas eksfiltrasi messenger khusus bernama ZMsg, yang diunduh dari GitHub. Utilitas mencuri komunikasi dari Viber, Telegram, dan Zalo dan menyimpannya di “%TEMP%\KoVosRLvmU\” hingga dieksfiltrasi.

Sebuah laporan sebelumnya dari perusahaan cybersecurity China Anheng Hunting Labs, yang melacak Dark Pink sebagai Saaiwc Group, menjelaskan beberapa rantai serangan dan mencatat bahwa di salah satu dari mereka, aktor tersebut menggunakan template Microsoft Office dengan kode makro berbahaya untuk mengeksploitasi yang lebih tua, dengan tingkat keparahan tinggi. kerentanan diidentifikasi sebagai CVE-2017-0199.

Meskipun Group-IB mengonfirmasi dengan keyakinan tinggi bahwa Dark Pink bertanggung jawab atas tujuh serangan, para peneliti mencatat bahwa jumlahnya bisa lebih tinggi. Perusahaan telah memberi tahu ketujuh organisasi tentang aktivitas kompromi aktor ancaman dan akan terus melacak operasi Dark Pink.