Eine gefährliche neue Gruppe von Cyberkriminellen wurde entdeckt, die es auf Regierungsbehörden und militärische Organisationen im asiatisch-pazifischen Raum abgesehen hat.
Laut mehreren Cybersicherheitsfirmen, die den Bedrohungsakteur entdeckt haben, scheint er unorthodoxe Taktiken anzuwenden, um vertrauliche Informationen von Zielendpunkten zu erhalten (öffnet in neuem Tab).
Zwei Cybersicherheitsfirmen verfolgten die Angreifer zunächst – Group-IB und Anheng Hunting Labs. Während erstere die Gruppe Dark Pink nannten, nannten letztere sie Saaiwc Group. Unabhängig vom Namen verwenden die Hacker Spear-Phishing-Angriffe für den anfänglichen Einsatz und infizierte USB-Laufwerke für die Verbreitung.
Missbrauch bekannter Mängel
Bei den Spear-Phishing-E-Mails handelt es sich in der Regel um gefälschte Stellenbewerbungen, die Opfer dazu verleiten sollen, bewaffnete ISO-Dateien herunterzuladen. Diese Dateien würden eine bekannte Sicherheitslücke mit hohem Schweregrad, die als CVE-2017-0199 (Office/WordPad Remote Code Execution Vulnerability) verfolgt wird, missbrauchen, um entweder Ctealer oder Cucky (benutzerdefinierte Infostealer) bereitzustellen. Diese würden später ein Registrierungsimplantat namens TelePowerBot einsetzen.
Beim Einsatz von KamiKakaBot wurde eine separate Methode beobachtet, die zum Lesen und Ausführen von Befehlen entwickelt wurde.
Sowohl Cucky als auch Ctealer wurden entwickelt, um Kennwörter, den Browserverlauf, gespeicherte Anmeldeinformationen und Cookies von den meisten heute gängigen Browsern (und noch einigen) zu stehlen. Darüber hinaus ist die Gruppe in der Lage, auf Messenger-Anwendungen zuzugreifen, Dokumente zu stehlen und Audio über Mikrofone abzugreifen, die mit infizierten Geräten verbunden sind.
„Während der Infektion führen die Angreifer mehrere Standardbefehle aus (z. B. net share, Get-SmbShare), um festzustellen, welche Netzwerkressourcen mit dem infizierten Gerät verbunden sind. Wenn die Nutzung von Netzwerkfestplatten festgestellt wird, werden sie damit beginnen, diese Festplatte zu durchsuchen, um Dateien zu finden, die für sie von Interesse sein könnten, und sie möglicherweise exfiltrieren“, erklärte Group-IB.
In der zweiten Hälfte des Jahres 2022 habe die Gruppe mindestens sieben erfolgreiche Angriffe gestartet, behaupten die Forscher.
Alle sieben Organisationen (bei denen die Angriffe bestätigt wurden) wurden über den Angriff informiert und erhielten Hinweise zum weiteren Vorgehen. Die Forscher geben an, dass es sehr wahrscheinlich ist, dass die Gruppe eine noch größere Anzahl von Organisationen kompromittiert hat, aber Bestätigungen stehen noch aus.
Über: Piepender Computer (öffnet in neuem Tab)