{"id":773,"date":"2023-01-11T15:27:00","date_gmt":"2023-01-11T18:27:00","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=773"},"modified":"2023-01-11T15:27:00","modified_gmt":"2023-01-11T18:27:00","slug":"dark-pink-0000000000000000000000000001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/dark-pink-0000000000000000000000000001\/","title":{"rendered":"Dark Pink 2023: nuevo grupo cibercriminal con herramientas APT"},"content":{"rendered":"

Group-IB, uno de los l\u00edderes mundiales en ciberseguridad, ha publicado hoy sus hallazgos sobre Dark Pink.<\/strong><\/h2>\n

Dark Pink es un grupo que lanz\u00f3 una campa\u00f1a de amenaza persistente avanzada (APT) en curso lanzada contra objetivos de alto perfil en Camboya, Indonesia, Malasia, Filipinas, Vietnam y Bosnia y Herzegovina que, con moderada confianza, creemos que fue lanzada por un nuevo actor de amenaza.<\/p>\n

Hasta la fecha, la inteligencia de amenazas de Group-IB ha podido atribuir siete ataques exitosos a este grupo espec\u00edfico de junio a diciembre de 2022.<\/p>\n

Con objetivos que incluyen cuerpos militares, ministerios y agencias gubernamentales y organizaciones religiosas y sin fines de lucro, aunque la lista de v\u00edctimas podr\u00eda ser significativamente m\u00e1s larga.<\/p>\n

Group-IB tambi\u00e9n not\u00f3 un ataque fallido en un cuerpo de desarrollo estatal europeo con sede en Vietnam.<\/p>\n\n\n\n
\"\"<\/a><\/td>\n\n

Informaci\u00f3n de valor para ejecutivos que toman decisiones de negocios<\/strong><\/p><\/blockquote>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

An\u00e1lisis de Group-IB descubri\u00f3 que el vector de acceso inicial para la campa\u00f1a de Dark Pink (nombre dado por Group-IB) fue correos electr\u00f3nicos de phishing dirigido y el objetivo principal de los actores de amenaza.<\/p>\n

Quienes utilizan una herramienta personalizada casi en su totalidad, es el espionaje corporativo, ya que intentan exfiltrar archivos, audio de micr\u00f3fono y datos de mensajer\u00eda de los dispositivos y redes infectadas.<\/p>\n

Group-IB, en l\u00ednea con su pol\u00edtica de cero tolerancia hacia el cibercrimen, ha emitido notificaciones proactivas a todos los objetivos potenciales y confirmados de Dark Pink.<\/p>\n

Nuestros investigadores siguen descubriendo y analizando todos los detalles detr\u00e1s de esta campa\u00f1a APT espec\u00edfica.<\/p>\n

Hasta la fecha, Group-IB no ha sido capaz de atribuir esta campa\u00f1a, que utiliza herramientas personalizadas y algunas t\u00e1cticas y t\u00e9cnicas poco comunes, a ning\u00fan actor de amenazas conocido.<\/p>\n

Como resultado, Group-IB cree que la campa\u00f1a de Dark Pink en la segunda mitad de 2022 es la actividad de un grupo completamente nuevo de actores de amenazas, tambi\u00e9n denominado Saaiwc Group por los investigadores de seguridad cibern\u00e9tica chinos.<\/p>\n

Este nuevo grupo APT es notable debido a su enfoque espec\u00edfico en atacar ramas militares y ministerios y agencias gubernamentales.<\/p>\n

Group-IB descubri\u00f3 que, a partir de diciembre de 2022, Dark Pink APT hab\u00eda superado las defensas de seguridad de seis organizaciones en cinco pa\u00edses de APAC (Camboya, Indonesia, Malasia, Filipinas y Vietnam) y una organizaci\u00f3n en Europa (Bosnia y Herzegovina).<\/p>\n

El primer ataque exitoso tuvo lugar en junio, cuando los actores de amenaza accedieron a la red de una organizaci\u00f3n religiosa en Vietnam.<\/p>\n

Tras este brecha en particular, no se registr\u00f3 ning\u00fan otro ataque atribuible a Dark Pink hasta agosto de 2022, cuando los analistas de Group-IB descubrieron que los actores de amenaza hab\u00edan accedido a la red de una organizaci\u00f3n sin fines de lucro vietnamita.<\/p>\n

La actividad de Dark Pink aument\u00f3 en los \u00faltimos cuatro meses del a\u00f1o. El equipo de inteligencia de amenazas de Group-IB descubri\u00f3 ataques a una rama de las Fuerzas Armadas de Filipinas en septiembre.<\/p>\n

Una rama militar de Malasia en octubre, dos violaciones en noviembre, con las v\u00edctimas siendo organizaciones gubernamentales en Bosnia y Herzegovina y Camboya, y finalmente, a principios de diciembre, una agencia gubernamental indonesia.<\/p>\n

La inteligencia de amenazas de Group-IB tambi\u00e9n descubri\u00f3 un ataque no exitoso a una agencia estatal de desarrollo de Europa con sede en Vietnam en octubre.<\/p>\n

Mientras la primera brecha Dark Pink, seg\u00fan lo confirmado por Group-IB, tuvo lugar en junio de 2022, hay pistas que sugieren que el grupo estaba activo desde mediados de 2021.<\/p>\n

Group-IB descubri\u00f3 que los actores de amenazas, una vez infectado un dispositivo, eran capaces de emitir comandos al ordenador infectado para descargar archivos maliciosos de Github, con estos recursos subidos por los propios actores de amenazas.<\/p>\n

Curiosamente, los actores de amenazas han utilizado la misma cuenta de Github para subir archivos maliciosos durante toda la duraci\u00f3n de la campa\u00f1a APT hasta la fecha, lo que podr\u00eda sugerir que han sido capaces de operar sin ser detectados durante un per\u00edodo significativo de tiempo.<\/p>\n

\"Figura<\/a>
Figura 2: Captura de pantalla que detalla la actividad en la cuenta de Github atribuida al APT Dark Pink en 2021 (arriba) y 2022 (abajo)<\/figcaption><\/figure>\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n

 <\/p>\n

Herramientas personalizadas filosas<\/strong><\/h3>\n

Dark Pink utiliza un conjunto de herramientas personalizadas y t\u00e1cticas, t\u00e9cnicas y procedimientos (TTPs) sofisticados que han hecho una gran contribuci\u00f3n a sus ataques exitosos durante los \u00faltimos siete meses.<\/p>\n

En su investigaci\u00f3n sobre Dark Pink, los analistas de Group-IB detallan todo el viaje de la v\u00edctima desde la infecci\u00f3n inicial hasta la exfiltraci\u00f3n de datos.<\/p>\n

Los actores de amenaza lanzan su ataque con correos electr\u00f3nicos de phishing dirigido.<\/p>\n

Group-IB pudo encontrar el correo electr\u00f3nico original enviado por los actores de amenaza en un ataque no exitoso.<\/p>\n

En este caso, los atacantes se hicieron pasar por un solicitante de empleo que aplicaba para el puesto de pasante de relaciones p\u00fablicas y comunicaciones.<\/p>\n

En el correo electr\u00f3nico, el actor de amenaza menciona que encontr\u00f3 la vacante en un sitio para buscar empleo, lo que podr\u00eda sugerir que los actores de amenaza escanean las p\u00e1ginas de trabajos y elaboran un correo de phishing \u00fanico relevante para la organizaci\u00f3n que encuentren.<\/p>\n

\"Figura<\/a>
Figura 3: Captura de pantalla del correo electr\u00f3nico de phishing con pico original enviado por el grupo APT Dark Pink, que contiene un enlace a una imagen ISO alojada en un GitHub.<\/figcaption><\/figure>\n

 <\/p>\n

\n
\n
\n
\n
\n
\n
\n
\n
\n
\n

Los correos electr\u00f3nicos de phishing con pico contienen una URL acortada que enlaza a un sitio de compartici\u00f3n de archivos gratuito, en el que se presenta a la v\u00edctima con la opci\u00f3n de descargar un archivo ISO malicioso que siempre contiene tres tipos de archivos espec\u00edficos:<\/p>\n

Un archivo ejecutable firmado, un documento enga\u00f1oso no malicioso (algunos archivos ISO vistos por Group-IB ten\u00edan m\u00e1s de uno) y un archivo DLL malicioso.<\/p>\n

Sin embargo, estos tipos de archivos pueden diferenciarse en su contenido y funcionalidad, y los analistas de Group-IB descubrieron tres cadenas de muerte separadas, lo que subraya la sofisticaci\u00f3n de este grupo APT en particular.<\/p>\n

La primera cadena de muerte analizada por Group-IB ve a los actores de amenaza empaquetar todos los archivos mencionados anteriormente, incluyendo un DLL malicioso, en el propio ISO.<\/p>\n

Luego, despu\u00e9s de montarlo, se ejecutar\u00e1 el DLL mediante el ataque conocido como Carga lateral de DLL. La segunda cadena de muerte ve a los actores de amenaza aprovechar Github despu\u00e9s del acceso inicial.<\/p>\n

Lo que les permite descargar autom\u00e1ticamente un documento plantilla que contiene c\u00f3digos de macro responsables de ejecutar el malware de los actores de amenaza.<\/p>\n

Por \u00faltimo, la tercera y m\u00e1s reciente cadena de muerte utilizada por los actores de amenaza (en diciembre de 2022) ve su malware lanzado con la ayuda de un archivo XML.<\/p>\n

El cual contiene un proyecto MSBuild que incluye una tarea para ejecutar c\u00f3digo .NET con el fin de lanzar su malware personalizado.”<\/p>\n

La sofisticaci\u00f3n de los ataques de Dark Pink tambi\u00e9n se ve subrayada por el malware personalizado y los ladrones en el arsenal de los actores de amenazas.<\/p>\n

Crearon dos m\u00f3dulos personalizados, denominados por Group-IB como TelePowerBot y KamiKakaBot, que est\u00e1n escritos en PowerShell y .NET, respectivamente.<\/p>\n

Estas dos piezas de malware est\u00e1n dise\u00f1adas para leer y ejecutar comandos desde un canal de Telegram controlado por un actor de amenazas a trav\u00e9s del bot de Telegram.<\/p>\n

Los investigadores de Group-IB notaron que toda la comunicaci\u00f3n entre los dispositivos de los actores de la amenaza y las v\u00edctimas se basaba completamente en la API de Telegram, y utilizaron numerosas t\u00e9cnicas de evasi\u00f3n, incluida la omisi\u00f3n del control de cuentas de usuario, para permanecer sin ser detectados.<\/p>\n

El actor de amenazas tambi\u00e9n cre\u00f3 dos ladrones personalizados, denominados Cucky y Ctealer por Group-IB.<\/p>\n

Cuando se inician en el dispositivo de las v\u00edctimas, los ladrones pueden robar contrase\u00f1as, historial, inicios de sesi\u00f3n y cookies de docenas de navegadores web.<\/p>\n

En esta campa\u00f1a, los actores de amenazas tambi\u00e9n escribieron un script que les permiti\u00f3 transferir su malware a dispositivos USB conectados a la m\u00e1quina comprometida y tambi\u00e9n propagar su malware a trav\u00e9s de recursos compartidos de red.<\/p>\n

Los actores de amenazas tambi\u00e9n aprovecharon una utilidad personalizada, denominada ZMsg por Group-IB, para filtrar datos del mensajero Zalo en los dispositivos de las v\u00edctimas.<\/p>\n

Los investigadores encontraron evidencia de que el grupo APT<\/strong> tambi\u00e9n podr\u00eda robar datos de los mensajeros de Viber y Telegram.<\/p>\n

Una de las \u00fanicas herramientas est\u00e1ndar que utilizaron los actores de amenazas fue el m\u00f3dulo Get-MicrophoneAudio de PowerSploit<\/strong> disponible p\u00fablicamente, que se carga en el dispositivo de la v\u00edctima a trav\u00e9s de una descarga desde Github.<\/p>\n

Este m\u00f3dulo, que los actores de amenazas personalizaron para asegurarse de que pudieran eludir el software antivirus, les permiti\u00f3 grabar la entrada de audio y luego filtrar estas grabaciones a trav\u00e9s de su bot de Telegram.<\/p>\n

Los analistas de Group-IB notaron que la secuencia de comandos personalizada agregada a este m\u00f3dulo PowerSploit<\/strong> se cambi\u00f3 varias veces, despu\u00e9s de varios intentos fallidos de grabar el audio del micr\u00f3fono en los dispositivos infectados.<\/p>\n

Dark Pink extrajo datos de las v\u00edctimas a trav\u00e9s de tres v\u00edas espec\u00edficas: a trav\u00e9s de Telegram, Dropbox y correo electr\u00f3nico.<\/p>\n

De hecho, el nombre Dark Pink<\/strong> proviene de un h\u00edbrido de dos de las direcciones de correo electr\u00f3nico (blackpink.301@outlook[.]com y blackred.113@outlook[.]com) utilizadas por los actores de amenazas durante la exfiltraci\u00f3n de datos a trav\u00e9s de la \u00faltima v\u00eda. .<\/p>\n

\u201cEl an\u00e1lisis de Dark Pink de Group-IB<\/strong> es de gran importancia, ya que detalla una campa\u00f1a APT altamente compleja lanzada por actores de amenazas experimentados.<\/p>\n

El uso de un conjunto de herramientas casi completamente personalizado, t\u00e9cnicas de evasi\u00f3n avanzadas.<\/p>\n

La capacidad de los actores de amenazas para modificar su malware para garantizar la m\u00e1xima eficacia y el perfil de las organizaciones objetivo demuestran la amenaza que representa este grupo en particular.<\/p>\n

Group-IB continuar\u00e1 monitoreando y analizando los ataques Dark Pink<\/strong> pasados y futuros con el objetivo de descubrir a los que est\u00e1n detr\u00e1s de esta campa\u00f1a\u201d, dijo Andrey Polovinkin, analista de malware de Group-IB<\/strong>.<\/p>\n

La campa\u00f1a reciente de Dark Pink APT<\/strong> es otro ejemplo m\u00e1s de c\u00f3mo las interacciones de las personas con correos electr\u00f3nicos de phishing pueden resultar en la penetraci\u00f3n de las defensas de seguridad incluso de las organizaciones m\u00e1s protegidas.<\/p>\n

Group-IB<\/a> recomienda soluciones, como su protecci\u00f3n de correo electr\u00f3nico comercial patentada, que pueden contrarrestar esta amenaza de manera efectiva y evitar que los correos electr\u00f3nicos maliciosos terminen en las bandejas de entrada de los empleados.<\/p>\n

Dicho esto, Group-IB insta a las organizaciones a fomentar una cultura de ciberseguridad y educar a sus empleados sobre c\u00f3mo identificar correos electr\u00f3nicos de phishing.<\/p>\n

La plataforma Threat Intelligence de Group-IB lider\u00f3 el an\u00e1lisis en Dark Pink y puede ayudar a las organizaciones a reforzar su postura de seguridad equip\u00e1ndolas con los \u00faltimos conocimientos sobre amenazas emergentes.<\/p>\n<\/div>\n<\/div>\n<\/div>\n

<\/div>\n<\/div>\n<\/div>\n<\/div>\n
<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n
\n
\n
\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/div>\n<\/div>\n
<\/div>\n
Lea m\u00e1s sobre ciberseguridad<\/div>\n
<\/div>\n
ISO 27001: arranca el a\u00f1o y hay que revisar la planificaci\u00f3n<\/a><\/div>\n
Fatiga por alertas: el impacto en la seguridad en la nube 2023<\/a><\/div>\n
Ciberseguridad Corporativa 2023: lo que viene<\/a><\/div>\n
Netskope: \u00abla\u00bb plataforma de redes y seguridad de SASE 2023<\/a><\/div>\n
\n
<\/div>\n<\/div>\n<\/form>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n
\n\n
\n
<\/div>\n<\/div>\n<\/form>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Group-IB, uno de los l\u00edderes mundiales en ciberseguridad, ha publicado hoy sus hallazgos sobre Dark Pink. Dark Pink es un grupo que lanz\u00f3 una campa\u00f1a de amenaza persistente avanzada (APT) en curso lanzada contra objetivos de alto perfil en Camboya, Indonesia, Malasia, Filipinas, Vietnam y Bosnia y Herzegovina que, con moderada confianza, creemos que fue […]<\/p>\n","protected":false},"author":2,"featured_media":774,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[420,417,419,236,289,418],"class_list":["post-773","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-apt","tag-dark-pink","tag-dark-pink-apt","tag-group-ib","tag-malware","tag-powersploit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/773","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=773"}],"version-history":[{"count":3,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/773\/revisions"}],"predecessor-version":[{"id":779,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/773\/revisions\/779"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/774"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}