Cyberthreat.id – Perusahaan keamanan Group-IB menemukan bahwa kelompok peretas Dark Pink menjadi sangat aktif pada tahun 2023, diamati menargetkan organisasi pemerintah, militer, dan pendidikan di Indonesia, Brunei, dan Vietnam.

Grup ancaman ini setidaknya telah aktif setidaknya sejak pertengahan 2021, terutama menargetkan entitas di kawasan Asia-Pasifik, tetapi pertama kali diekspos pada Januari 2023.

Dikutip dari Bleeping Computer, para peneliti melaporkan bahwa setelah menganalisis tanda-tanda aktivitas sebelumnya oleh pelaku ancaman, mereka kini menemukan pelanggaran tambahan terhadap lembaga pendidikan di Belgia dan badan militer di Thailand. Hingga kini, Dark Pink belum menunjukkan tanda-tanda melambat.

“Perusahaan mengatakan telah mengidentifikasi setidaknya lima serangan yang dilakukan oleh grup tersebut setelah publikasi laporan sebelumnya,” kata Group-IB.

Dalam serangan baru-baru ini, Dark Pink memamerkan rantai serangan yang diperbarui, menerapkan mekanisme persistensi yang berbeda, dan menerapkan alat eksfiltrasi data baru, kemungkinan berusaha menghindari deteksi dengan menjauhkan operasi mereka dari IoC yang tersedia untuk umum (indikator kompromi).

Menurut peneliti, serangan Dark Pink terus bergantung pada arsip ISO yang dikirim melalui spear-phishing untuk infeksi awal, yang menggunakan pemuatan samping DLL untuk meluncurkan pintu belakang andalannya, 'TelePowerBot' dan 'KamiKakaBot.'

Elemen baru adalah penyerang kini telah membagi fungsi KamiKakaBot menjadi dua bagian, yaitu kontrol perangkat dan pencurian data. Juga, implan sekarang dimuat dari memori, tidak pernah menyentuh disk. Ini membantu menghindari deteksi karena alat antivirus tidak memantau proses yang dimulai di memori.

“KamiKakaBot terus menargetkan data yang disimpan di browser web dan mengirimkannya ke penyerang melalui Telegram, selain itu, pintu belakang dapat mengunduh dan menjalankan skrip arbitrer pada perangkat yang dilanggar,” kata perusahaan tersebut.

Group-IB menemukan bahwa Dark Pink menggunakan repositori GitHub pribadi untuk menghosting modul tambahan yang diunduh oleh malware-nya ke sistem yang disusupi. Pelaku ancaman hanya melakukan 12 komitmen pada repositori tersebut sepanjang tahun 2023, terutama untuk menambahkan atau memperbarui dropper malware, skrip PowerShell, pencuri info ZMsg, dan alat eskalasi hak istimewa Netlua.

Salah satu skrip PowerShell ini sangat penting untuk strategi pergerakan lateral Dark Pink, membantu mengidentifikasi dan berinteraksi dengan saham SMB dalam jaringan. Skrip mengambil arsip ZIP dari GitHub, menyimpannya ke direktori lokal, lalu membuat file LNK di setiap share SMB yang ditautkan ke file yang dapat dieksekusi berbahaya di arsip.

Saat file LNK ini dibuka, mereka meluncurkan executable berbahaya, melanjutkan penyebaran Dark Pink di seluruh jaringan dan memperluas jangkauannya ke sistem tambahan. Dark Pink juga menggunakan perintah PowerShell untuk melakukan pemeriksaan keberadaan perangkat lunak yang sah dan alat pengembangan pada perangkat yang disusupi yang dapat disalahgunakan untuk operasi mereka.

Alat-alat ini termasuk 'AccCheckConsole.exe', 'remote.exe', 'Extexport.exe', 'MSPUB.exe', dan 'MSOHTMED.exe', yang dapat dimanfaatkan untuk eksekusi proxy, mengunduh muatan tambahan, dan banyak lagi.

Namun, Grup-IB mencatat bahwa belum terlihat contoh penyalahgunaan alat ini dalam serangan yang diamati. Perusahaan melaporkan bahwa Dark Pink sekarang menunjukkan variasi dalam metode eksfiltrasi datanya, melampaui pengiriman arsip ZIP ke saluran Telegram.

Dalam beberapa kasus yang dilihat oleh analis, penyerang menggunakan unggahan DropBox, sementara di kasus lain, mereka menggunakan eksfiltrasi HTTP menggunakan titik akhir sementara yang dibuat dengan layanan "Webhook.site" atau server Windows. Skrip yang disebutkan sebelumnya juga menampilkan kemampuan untuk mengekstraksi data dengan membuat objek WebClient baru untuk mengunggah file ke alamat eksternal menggunakan metode PUT setelah menentukan lokasi file target di komputer yang dilanggar.

Group-IB menyimpulkan bahwa pelaku ancaman Dark Pink tidak berkecil hati dengan paparan mereka sebelumnya dan sepertinya tidak akan berhenti sekarang. Kemungkinan besar, penyerang akan terus memperbarui alat mereka dan mendiversifikasi metode mereka sebanyak mungkin.