Dark Pink (APT) -ի հիմնական դերն ասոցացվում է հարձակումների նոր հոսքի հետ, որոնք ուղղված են հարավարևելյան ասիական երկրների կառավարության և ռազմական կառույցներին դեմ: Դրանք իրականացվում են KamiKakaBot ծրագրով:
Dark Pink-ը, որին նաև անվանում են Saaiwc, առաջին անգամ պրոֆիլավորվեց Group-IB-ի կողմից՝ նկարագրելով հատուկ գործիքակազմ, ինչպիսիք են՝ TelePowerBot-ը և KamiKakaBot-ը:
Սպառնալիքի հեղինակը, ենթադրաբար, ասիական-խաղաղօվկիանոսյան երկիր է:
«Վերջին հարձակումները, որոնք տեղի են ունեցել 2023-ի փետրվարին, գրեթե նույնական էին նախորդ հարձակումներին», – իր անցած շաբաթվա ընթացքում հրապարակված զեկույցում փոխանցեց EclecticIQ-ն:
Հարձակումները դրսևորվում են սոցիալական ինժեներիայի վահանակների տեսքով, որոնք էլ. փոստի հաղորդագրություններում պարունակում են ISO նկարներ ՝ չարամիտ ծրագիրը համակարգ փոխանցելու համար:
ISO պատկերը ներառում է Winword.exe, MSVCR100.dll և Microsoft Word-ի փաստաթուղթ, որոնցից վերջինը ներկառուցված է KamiKakaBot-ի հետ:
Բեռնվող ծրագիրն իր հերթին նախատեսված է KamiKakaBot-ը ներբեռնելու համար՝ օգտագործելով DLL հայտնի մեթոդը, որը թույլ է տալիս խուսափել անվտանգության պաշտպանությունից:
KamiKakaBot-ը հիմնականում նախագծված է վեբ բրաուզերներում պահված տվյալները գողանալու և հեռակա կոդ գործարկելու համար, միևնույն ժամանակ կիրառում է հատուկ տեխնիկա՝ հայտնաբերման պրոցեսը խոչընդոտելու համար:
Հավաքված տվյալները հետագայում արտածվում են Telegram բոտում՝ որպես ZIP արխիվ:
Աղբյուրը՝ thehackernews.com
