新兴威胁组织：Dark Pink 的最新攻击手段

重点摘要

近期，名为 Dark Pink 的高级持续威胁（APT）组织对东南亚的政府和军事机构发起了新一轮攻击，使用了改进版的 KamiKakaBot 恶意软件。该组织的攻击手段与今年一月 Group-IB 最初报告的相似，但新更新的恶意软件具有更好的混淆能力。

从上个月开始，Dark Pink 利用带有 ISO 镜像附件的钓鱼邮件传播该恶意软件。这些附件内含一个伪装成 Microsoft Word 文档的 KamiKakaBot 恶意软件、一个加载器和一个可执行文件。一旦通过 DLL 侧加载加载了该恶意软件，KamiKakaBot开始进行浏览器数据盗窃和远程代码执行，同时能躲避反病毒系统的检测。此外，KamiKakaBot 还利用 Winlogon Helper 库实现持久性，并通过 Telegram 机器人传输窃取的数据。EcleticIQ 表示：“利用合法的网络服务作为命令与控制（C2）服务器，例如 Telegram，依然是不同威胁行为者的首选，从普通网络犯罪者到高级持续威胁行为者。”

攻击细节

“不同类型的威胁行为者，包括高级持续威胁组织和普通网络犯罪者，仍旧倾向于使用合法的网络服务作为其命令与控制服务器。” — EcleticIQ

结论

Dark Pink 利用改变后的 KamiKakaBot恶意软件展示了其攻击能力的增强，利用钓鱼邮件进行攻击并隐藏在合法服务之下，这对政府和军事机构构成了重大威胁。对此，相关组织应该加强其网络安全防护措施，以应对日益严峻的网络攻击形势。