Dark Pink APT Group Expands Tooling and Targets
2023/05/31 InfoSecurity — 著名な APT グループ Dark Pink によるキャンペーンの範囲は、当初に考えられていたよりも広く、その新たな被害者は、ベルギーにおける1件を含む、全体で5件に達していることを、研究者たちは確認している。中国との関連が指摘されている Dark Pink は、主に東南アジア諸国をターゲットに活動していると、これまでは考えられてきた。しかし、Group-IB が確認したところによると、被害者はタイやブルネイだけではなく、ベルギーにも広がっているとのことだ。
Group-IB の Malware Analyst である Andrey Polovinkin は、「このグループは、高度なカスタム・ツールを使用し、スピアフィッシング・メールを用いる複数のキルチェーンを展開している。さらに、標的ネットワークへのアクセスに成功した攻撃者は、高度な持続性メカニズムを用いて検出を回避し、侵害したシステムの制御を維持する。このグループの活動を追跡し続けた結果として、新しいツール/流出メカニズム/新しいターゲット分野に加えて、これまでは標的にされなかった国々での被害も確認した」と述べている。
2023年には、少なくとも2回の攻撃が観察されている、同グループが活動を減速するつもりがないことは明らかだ。その TTP (tactics, techniques and procedures) の更新には、KamiKakaBot マルウェアの新バージョンが含まれ、デバイスの制御に加えて、情報スティーラーも実現されている。
また、悪意のコードによる指示があった場合に、被害者のマシンにインストールするためのモジュールをホストする、新しい GitHub アカウントも Group-IB は発見している。このペイロードは、TextBin.net サービスを通じて配布されているとのことだ。
Polovinkin は、Dark Pink が Webhook というサービスを悪用して、盗んだデータを HTTP で流出させていることを明らかにした。
彼は、「Webhook.site は、HTTP リクエストや Webhook を、容易に検査/テスト/デバッグするための、パワフルで汎用性の高いサービスである。webhook.site を使用すると、受信した HTTP リクエストをキャプチャして表示するために、一時的なエンドポイントを設定することが可能になる」と説明している。
さらに Dark Pink は、感染させたマシンで検出を回避するための、新しい方法を継続的に探しており、そのために各種の LOLBin 技術を使用しているはずだと、このレポートは主張している。
Dark Pink に関しては、2023/03/13 の「Dark Pink は中国の APT グループ:ASEAN 諸国の政府機関に KamiKakaBot を配布」や、2023/01/11 の「Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成」にあるように、アジアを狙う APT として認識されていましたが、今回はベルギーに飛び火したようです。よろしければ、APT で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.