Dark Pink APT Group ใช้ประโยชน์จาก TelePowerBot และ KamiKakaBot ในการโจมตี

286/66 (IT) ประจำวันพฤหัสบดีที่ 1 มิถุนายน 2566

กลุ่ม APT ที่ใช้ชื่อ Dark Pink มีความเชื่อมโยงกับการโจมตีใหม่ 5 ครั้งที่มุ่งเป้าไปที่หน่วยงานต่างๆ ในเบลเยียม บรูไน อินโดนีเซีย ไทย และเวียดนาม ระหว่างเดือนกุมภาพันธ์ 2565 ถึงเมษายน 2566 ซึ่งรวมถึงหน่วยงานด้านการศึกษา หน่วยงานรัฐบาล หน่วยงานทางทหาร และองค์กรไม่แสวงหาผลกำไร โดย Dark Pink หรือที่เรียกว่า Saaiwc Group เป็นผู้ก่อภัยคุกคามแบบถาวรขั้นสูง (APT) ซึ่งเชื่อว่ามีต้นกำเนิดอยู่ในเอเชียแปซิฟิก โดยมีเป้าหมายการโจมตีที่หน่วยงานที่ตั้งอยู่ในเอเชียตะวันออกและในยุโรป กลุ่มนี้ใช้ชุดเครื่องมือ เช่น TelePowerBot และ KamiKakaBot ซึ่งมีฟังก์ชันต่างๆ เพื่อกรองข้อมูลสำคัญออกจากโฮสต์ที่โจมตี

Andrey Polovinkin นักวิจัยด้านความปลอดภัยของ Group-IB กล่าวว่ากลุ่มนี้ใช้เครื่องมือแบบของตนเองที่มีความซับซ้อน และปรับใช้ kill chain หลายอันโดยอาศัยการ spear-phishing email โดยเมื่อผู้โจมตีเข้าถึงเครือข่ายของเป้าหมายได้ พวกเขาจะใช้เครื่องมือขั้นสูงเพื่อให้ตรวจไม่พบและรักษาการควบคุมระบบที่ได้เข้าถึง ซึ่งกลุ่ม Dark Pink ได้ปรับปรุง KamiKakaBot ในการดำเนินการคำสั่งจากช่องสัญญาณ Telegram ที่ควบคุมจากผู้โจมตีผ่านทางบอท Telegram โดยเฉพาะเวอร์ชันล่าสุดมีการแบ่งการทำงานออกเป็นสองส่วน:ส่วนแรกสำหรับการควบคุมอุปกรณ์และอีกส่วนสำหรับการเก็บเกี่ยวข้อมูลที่มีค่า

Polovinkin ยังกล่าวว่าการโจมตีสองครั้งที่เกิดขึ้นในปี 2566 บ่งชี้ว่า Dark Pink ยังคงมีการดำเนินการอยู่และก่อให้เกิดความเสี่ยงต่อองค์กรอย่างต่อเนื่อง จากหลักฐานแสดงให้เห็นว่าอาชญากรไซเบอร์ที่อยู่เบื้องหลังการโจมตีเหล่านี้ได้ทำการอัปเดตเครื่องมือที่มีอยู่อย่างต่อเนื่องเพื่อให้ตรวจไม่พบ

แหล่งข่าว  ( https://thehackernews.com/2023/05/dark-pink-apt-group-leverages.html )