Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成

Dark Pink APT Group Targets Governments and Military in APAC Region

2023/01/11 TheHackerNews — アジア太平洋地域における政府機関/軍事組織などが、未知の高度持続的脅威 (APT:Advanced Persistent Threat) アクターの標的にされていることが、最新の調査により明らかになった。シンガポールに本社を置く Group-IB は、The Hacker News と共有したレポートの中で、「Dark Pinkと命名された進行中のキャンペーンを追跡しており、同グループは 2022年6月〜12月の間に7つの攻撃を成功させた」と述べている。

攻撃の大部分は、カンボジア/インドネシア/マレーシア/フィリピン/ベトナム/ボスニア/ヘルツェゴビナなどの軍事機関や、政府省庁/宗教/非営利団体などを標的にしている。また、ベトナムに拠点を置く無名の欧州国家開発機関に対する1件の侵入が、失敗したとも報告されている。


Dark Pink は、2021年半ばに活動を開始したと推定され、その1年後には、感染させたネットワークから貴重な情報を略奪するために設計された、未知のカスタム・ツールキットを用いて攻撃を激化させている。

Group-IB のリサーチャーである Andrey Polovinkin は、「Dark Pink APT の主目的は、企業スパイ活動/文書の窃盗などだが、それに加えて、感染させたデバイスのマイクからの音声キャプチャ/メッセンジャーからのデータ流出なども観察されている。一連のアクティビティからは、熟練した脅威アクターが開始した、非常に複雑な APT キャンペーンが示唆される」と述べている。

同グループは、その洗練されたマルウェアに加えて、攻撃開始のためのスピアフィッシング・メールや、Command and Control (C2) 通信のための Telegram API なども活用している。

また、悪意のモジュールをホスティングするために、単一の GitHub アカウントを使用しており、2021年5月からアクティブになっていることから、Dark Pink は1年半以上にわたって検知されずに活動していることが示唆される。

さらに Dark Pink のキャンペーンでは、複数の感染チェーンが採用されており、フィッシング・メッセージに、マルウェアの展開プロセスを起動させるための、ブービートラップ ISO イメージ・ファイルへのリンクを含むことが特徴的だ。ある事例では、PR のインターンシップに応募する候補者を装っていたという。


さらに同グループは、メッセージをカスタマイズすることで、ソーシャル・エンジニアリング攻撃の成功確率を高めるために、求人情報サイトを漁っている可能性も疑われている。

彼らの最終的な目標は、彼らが操作する Telegram ボットを介して送信されたコマンドを実行する TelePowerBot/KamiKakaBot の展開に加えて、Ctealer/Cucky といったカスタム・ツールを用いて、Web ブラウザから認証情報とクッキーを吸い上げることにある。

Ctealer が C/C++ で書かれているのに対して、Cucky は .NET のプログラムだ。そして、もう1つのカスタム・マルウェアは、.NET ベースのアプリ ZMsg であり。それらを用いる Dark Pink は、Telegram/Viver/Zalo などのメッセージ・アプリで送信されるメッセージを採取する。

Group-IB が確認した別のキルチェーンでは、ISO ファイルに含まれるデコイ文書を利用して、不正なマクロ対応テンプレートを GitHub から取得していたという。そのテンプレートに、PowerShell スクリプト・マルウェアである、TelePowerBot が格納されていたという。


それだけではない。2022年12月に発見された3つ目の手口は、TelePowerBot の .NET 版である KamiKakaBot が、暗号化された Word 文書の末尾にある MSBuild プロジェクトを含む XML ファイルにより起動するというものだ。スピアフィッシング・メールで被害者に送られる ISO イメージの中に、この Word ファイルは存在する。

Polovinkin は、「この攻撃の背後にある脅威アクターは、複数のプログラミング言語でツールを作成することで、防御インフラに柔軟に対応しながら突破し、被害者のネットワーク上で永続性を獲得していた」と説明している。

侵入に成功すると、偵察/横移動/情報漏えいなどの活動が行われ、さらには、Dropbox や電子メールを介して目的のファイルが送信されることもあるようだ。また、一般に公開されている PowerSploit モジュールを用いたマイク音声の録音や、接続された USB ディスクへの増殖もあるようだ。

Polovinkin は、「ほぼ完全にカスタム化されたツールキットの使用/高度な回避技術に加えて、マルウェアを作り直すことで最大の効果を確保する、この脅威アクターの能力と標的組織のプロファイルなどにより、このグループの脅威が実証されている」と述べている。

この Dark Pink という APT ですが、なかなか手強そうですね。いまは、カンボジア/インドネシア/マレーシア/フィリピン/ベトナム/ボスニア/ヘルツェゴビナなどの国々が狙われているようですが、対象が日本にまで広がらないという保証はありません。最近のアジアにおける気になる記事は、以下の通りです。よろしければ、ご参照ください。

2022/12/27:BlueNoroff APT :日本への強い関心と MoTW 回避
2022/12/15:MirrorFace というAPT:参院選 2022 を狙っていた
2022/11/15:中国のBillbug:標的はアジア諸国における政府と防衛