Tập Đoàn APT Màu Hồng Đậm Mới Nhắm Đến Chính Phủ Và Quân Đội Ở Châu Á Thái Bình Dương
Một nhóm APT mới có tên Dark Pink đã nhắm mục tiêu vào các cơ quan quân sự và chính phủ ở nhiều quốc gia châu Á-Thái Bình Dương để trích xuất tài liệu có giá trị.
Mục Lục
Dark Pink APT Group Takes Aim và Quân đội và Chính phủ
Một loạt các cuộc tấn công đe dọa liên tục nâng cao (APT) đã được phát hiện do một nhóm có tên là Dark Pink thực hiện từ tháng 6 đến tháng 12 năm 2022. Các cuộc tấn công nhằm vào một số quốc gia ở Châu Á-Thái Bình Dương, bao gồm Campuchia, Việt Nam, Malaysia, Indonesia, và Phi-líp-pin. Một quốc gia châu Âu, Bosnia và Herzegovina, cũng là mục tiêu.
Các cuộc tấn công Dark Pink lần đầu tiên được phát hiện bởi Albert Priego, một nhà phân tích phần mềm độc hại của Group-IB. Trong một bài đăng trên blog của Group-IB về các sự cố, có tuyên bố rằng những kẻ điều hành Dark Pink độc hại đang “tận dụng một bộ chiến thuật, kỹ thuật và quy trình mới mà các nhóm APT đã biết trước đây hiếm khi sử dụng.” Đi sâu vào chi tiết hơn, Group-IB đã viết về một bộ công cụ tùy chỉnh có bốn công cụ đánh cắp thông tin khác nhau: TelePowerBot, KamiKakaBot, Cucky và Ctealer.
Những kẻ đánh cắp thông tin này đang được Dark Pink sử dụng để trích xuất các tài liệu có giá trị được lưu trữ trong các mạng của chính phủ và quân đội.
Hình thức ban đầu của các cuộc tấn công của Dark Pink được cho là các chiến dịch lừa đảo trực tuyến, trong đó những người điều hành sẽ mạo danh những người xin việc. Group-IB cũng lưu ý rằng Dark Pink có khả năng lây nhiễm sang các thiết bị USB được kết nối với máy tính bị xâm nhập. Trên hết, Dark Pink có thể truy cập các trình nhắn tin được cài đặt trên máy tính bị nhiễm.
Group-IB đã chia sẻ một infographic về các cuộc tấn công của Dark Pink trên trang Twitter của mình, như hình bên dưới.
Trong khi hầu hết các cuộc tấn công diễn ra ở Việt Nam (với một cuộc tấn công không thành công), tổng cộng năm cuộc tấn công khác cũng diễn ra ở các quốc gia khác.
Người điều hành Dark Pink hiện không rõ
Tại thời điểm viết bài, các nhà điều hành đằng sau Dark Pink vẫn chưa được biết. Tuy nhiên, Group-IB đã tuyên bố trong bài đăng nói trên rằng “sự kết hợp của các tác nhân đe dọa quốc gia-nhà nước từ Trung Quốc, Triều Tiên, Iran và Pakistan” có liên quan đến các cuộc tấn công APT ở các quốc gia Châu Á-Thái Bình Dương. Nhưng người ta lưu ý rằng có vẻ như Dark Pink xuất hiện sớm nhất là vào giữa năm 2021, với sự gia tăng hoạt động vào giữa năm 2022.
Group-IB cũng lưu ý rằng mục đích của các cuộc tấn công như vậy thường là để thực hiện hoạt động gián điệp hơn là thu lợi về mặt tài chính.
Nhóm APT Màu Hồng Đậm Vẫn Hoạt Động
Trong bài đăng trên blog của mình, Group-IB đã thông báo với độc giả rằng, tại thời điểm viết bài (ngày 11 tháng 1 năm 2023), nhóm Dark Pink APT vẫn đang hoạt động. Vì các cuộc tấn công vẫn chưa kết thúc cho đến cuối năm 2022 nên Group-IB vẫn đang điều tra vấn đề và xác định phạm vi của nó.
Công ty hy vọng sẽ phát hiện ra những kẻ điều hành các cuộc tấn công này và đã tuyên bố trong bài đăng trên blog của mình rằng nghiên cứu sơ bộ được thực hiện về vụ việc sẽ “đi một chặng đường dài để nâng cao nhận thức về các TTP mới được sử dụng bởi tác nhân đe dọa này và giúp các tổ chức thực hiện các hành động liên quan”. các bước để tự bảo vệ mình khỏi một cuộc tấn công APT có khả năng tàn phá”.
Các nhóm APT gây ra mối đe dọa bảo mật lớn
Các nhóm đe dọa liên tục nâng cao (APT) gây rủi ro rất lớn cho các tổ chức trên toàn thế giới. Khi các phương thức của tội phạm mạng ngày càng tinh vi, không thể biết được kiểu tấn công nào mà các nhóm APT sẽ thực hiện tiếp theo và hậu quả của nó đối với mục tiêu.