- Trong khoảng thời gian từ tháng 02/2022 đến tháng 4/2023, nhóm APT Dark Pink được cho là có liên quan đến 5 cuộc tấn công mạng nhằm vào các tổ chức ở Bỉ, Brunei, Indonesia, Thái Lan và Việt Nam.
Các tổ chức bị tấn công bao gồm: tổ chức giáo dục, cơ quan chính phủ, cơ quan quân sự và tổ chức phi lợi nhuận. Dark Pink (hay còn được biết đến với tên Saaiwc Group) là nhóm APT đến từ châu Á - Thái Bình Dương với các cuộc tấn công nhằm mục tiêu vào các tổ chức ở Đông Á và một vài mục tiêu ở châu Âu.
Nhóm này đã sử dụng các mã độc như TelePowerBot và KamiKakaBot nhằm đánh cắp dữ liệu nhạy cảm từ máy chủ bị xâm nhập. Dark Pink cài cắm các mã độc thông qua Spear Phishing email. Sau khi bị cài cắm mã độc, các đối tượng tấn công sẽ có quyền truy cập vào mạng của mục tiêu, đồng thời sử dụng cơ chế duy trì nâng cao để tránh bị phát hiện.
Chuỗi tấn công của Dark Pink đã cản trở quá trình phân tích của máy chủ đồng thời hỗ trợ KamiKakaBot thực thi các lệnh từ đối tượng tấn công thông qua bot Telegram. Đặc biệt, trong phiên bản mới này chức năng của mã độc KamiKakaBot được chia thành hai phần riêng biệt: một phần có khả năng điều khiển các thiết bị và phần còn lại nhằm thu thập thông tin quan trọng.
Các nhà nghiên cứu đã phát hiện ra một tài khoản GitHub được liên kết với đối tượng tấn công lưu trữ các tập lệnh PowerShell, tệp nén ZIP và mã độc. Các nội dung này được tải lên từ ngày 9/1/2023 đến ngày 11/4/2023.
Ngoài ra, Dark Pink đang lọc các dữ liệu đánh cắp qua http thông qua webhook[.]site và sử dụng Add-ins trong Excel để duy trì TelePowerBot trong máy chủ bị nhiễm mã độc.
Kể từ giữa năm 2021 đến nay, Dark Pink đã thực hiện tổng cộng 13 cuộc tấn công. Các cá nhân, tổ chức cần thực hiện kiểm tra, rà soát hệ thống và cẩn thận trước mỗi lần nhấp chuột vào các đường liên kết hay tệp đính kèm đáng ngờ trong email.
PV