Dark Pink APT グループが APAC 地域の政府と軍を標的に from thehackernews.com
security summary
このグループは、洗練されたマルウェア アーセナルに加えて、スピア フィッシング メールを利用して攻撃を開始したり、コマンド アンド コントロール (C2) 通信用の Telegram API を利用したりしていることが確認されています。
Dark Pink キャンペーンはさらに、複数の感染チェーンを採用していることでも際立っており、フィッシング メッセージには、マルウェアの展開プロセスを起動するブービー トラップされた ISO イメージ ファイルへのリンクが含まれています。
最終的な目標は、Ctealer や Cucky などの特注ツールを使用して Web ブラウザーから資格情報や Cookie を吸い上げることに加えて、攻撃者が制御する Telegram ボットを介して送信されたコマンドを実行できる TelePowerBot と KamiKakaBot をデプロイすることです。
このテンプレートには、PowerShell スクリプト マルウェアである TelePowerBot が含まれています。
また、公開されている PowerSploit モジュールを使用してデバイスでマイクの音声を録音し、コマンドを実行して接続された USB ディスクに感染させ、マルウェアを拡散させます。
「ほぼ完全にカスタム化されたツールキットの使用、高度な回避技術、最大の効果を確保するためにマルウェアを作り直す脅威アクターの能力、および標的とされた組織のプロファイルは、この特定のグループがもたらす脅威を示しています」とポロビンキン氏は述べています。
コメント