新しいダークピンクの APT グループがアジア太平洋地域の政府と軍を標的に

Dark Pink という名前の新しい APT グループは、貴重な文書を抽出するために、多数のアジア太平洋諸国の軍事機関や政府機関を標的にしています。

Dark Pink の APT グループが狙いを定め、軍と政府を狙う

2022 年 6 月から 12 月にかけて、Dark Pink として知られるグループによって多数の Advanced Persistent Threat (APT) 攻撃が開始されたことが判明しました。これらの攻撃は、カンボジア、ベトナム、マレーシア、インドネシアなど、アジア太平洋地域のいくつかの国に対して開始されました。そしてフィリピン。ヨーロッパの 1 か国、ボスニア・ヘルツェゴビナも標的にされました。

Dark Pink 攻撃は、Group-IB のマルウェア アナリストである Albert Priego によって最初に発見されました。このインシデントに関する Group-IB のブログ投稿では、悪意のある Dark Pink オペレーターが「これまで知られている APT グループではめったに利用されない新しい一連の戦術、手法、および手順を利用している」と述べられています。 TelePowerBot、KamiKakaBot、Cucky、および Ctealer の 4 つの異なるインフォスティーラーを備えたカスタム ツールキットについて書いています。

これらのインフォスティーラーは、Dark Pink が政府や軍のネットワークに保存されている貴重なドキュメントを抽出するために使用されています。

Dark Pink の最初の攻撃経路は、オペレータが求職者になりすますスピア フィッシング キャンペーンであると言われています。Group-IB はまた、Dark Pink には、侵害されたコンピュータに接続された USB デバイスに感染する能力があることにも言及しました。さらに、Dark Pink は、感染したコンピューターにインストールされているメッセンジャーにアクセスできます。

Group-IB は、以下に示すように、Twitter ページで Dark Pink 攻撃に関するインフォグラフィックを共有しました。

攻撃のほとんどはベトナムで行われましたが (そのうちの 1 件は失敗)、他の国でも合計 5 回の攻撃が行われました。

ダークピンクのオペレーターは現在不明です

執筆時点では、Dark Pink の背後にいるオペレーターは不明のままです。しかし、Group-IB は前述の投稿で、「中国、北朝鮮、イラン、パキスタンからの国家レベルの脅威アクターの混合」がアジア太平洋諸国での APT 攻撃に結びついていると述べています。しかし、ダークピンクは2021年半ばに出現し、2022年半ばに活動が急増したようだ.

Group-IB はまた、このような攻撃の目的は、金銭的な利益を得ることではなく、スパイ活動を行うことであると指摘しました。

Dark Pink APT グループは活動を継続

Group-IB はそのブログ投稿で、執筆時点 (2023 年 1 月 11 日) の時点で、Dark Pink APT グループが引き続き活動していることを読者に通知しました。攻撃は 2022 年後半まで終わらなかったため、Group-IB は引き続きこの問題を調査し、その範囲を決定しています。

同社は、これらの攻撃の実行者を明らかにしたいと考えており、ブログ投稿で、このインシデントに関して実施された予備調査は、「この脅威アクターが利用する新しい TTP についての認識を高め、組織が関連する情報を取得するのに役立つはずである」と述べています。壊滅的な被害をもたらす可能性のある APT 攻撃から身を守るための措置を講じます。」

巨大なセキュリティ脅威をもたらす APT グループ

Advanced Persistent Threat (APT) グループは、世界中の組織に大きなリスクをもたらします。サイバー犯罪の手口がますます巧妙化する中、APT グループが次にどのような種類の攻撃を開始し、それが標的にどのような影響を与えるかはわかりません。