Исследователи безопасности из ИБ-компании EclecticIQ — это нидерландская компания, занимающаяся разработкой продуктов в области кибербезопасности. Она предлагает платформу для управления угрозами и аналитические инструменты для защиты от киберугроз. Целевая аудитория — это крупные предприятия и правительственные организации.
» data-html=»true» data-original-title=»EclecticIQ»>EclecticIQ заявили , что правительственные хакеры атакуют военные и правительственные организации в Южной Азии с помощью вредоносного ПО под названием KamiKakaBot, предназначенного для кражи конфиденциальной информации.
Эксперты приписали атаки
Усовершенствованная постоянная угроза (APT) — это скрытая угроза, за которой обычно стоит национальное государство или спонсируемая государством группа, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода времени. В последнее время этот термин может также относиться к нефинансируемым государством группам, осуществляющим крупномасштабные целевые вторжения для достижения определенных целей.
Мотивы таких субъектов угрозы обычно носят политический или экономический характер.
» data-html=»true» data-original-title=»APT»>APT-группе Dark Pink. Результаты исследования EclecticIQ предполагают, что группа Dark Pink может быть связана с Китаем, но доказательств недостаточно. Большая часть атак группировки была направлена на Азиатско-Тихоокеанский регион, среди подтвержденных жертв – два военных ведомства на Филиппинах и в Малайзии, правительственные учреждения в Камбодже, Индонезии, Боснии и Герцеговине, а также религиозная организация во Вьетнаме.
Во время своей последней кампании в феврале хакеры рассылали фишинговые электронные письма своим жертвам, выдавая себя за европейских чиновников. В одном из писем злоумышленники выдавали себя за чиновника Германии и призывали правительство Индонезии расширять сотрудничество между своими странами в ответ на усиление геополитической напряженности.
Февральская кампания Dark Pink была почти идентична предыдущим атакам, о которых Group-IB сообщила в январе. В обеих атаках группа использовала ISO-образы, в которых хранятся копии файлов для доставки вредоносного ПО на компьютер. Затем хакеры запустили вредоносное ПО, используя метод боковой загрузки DLL (DLL Sideloading — перехват DLL-библиотеки, которую загружает программа. Вместо того, чтобы просто установить DLL в порядке поиска программы, а затем ожидать вызова приложения-жертвы, злоумышленник напрямую загружает свою полезную нагрузку, установив, а затем запустив легитимное приложение, которое выполняет его полезную нагрузку.