Trwa kampania hakerska o charakterze szpiegowskim, w ramach której prowadzone są cyberataki na podmioty wyższego szczebla w wielu państwach, w tym w Europie. Cel stanowią m.in. agencje rządowe i wojsko. Do części z nich sprawcom udało się włamać.
Specjaliści Group-IB wykryli kampanię (nazwano ją „Dark Pink”), która jest prowadzona przez nową grupę APT. Wrogie działania są wymierzone w podmioty wyższego szczebla z takich państw, jak Kambodża, Indonezja, Malezja, Filipiny, Wietnam oraz Bośnia i Hercegowina.
Specjaliści nie byli w stanie przypisać cyberataków istniejącej wcześniej grupie, dlatego mówią o nowym aktorze APT – „Saaiwc Group”. Osoby stojące za kampanią korzystają z niestandardowych narzędzi i stosują rzadko spotykane techniki oraz taktykę.
Czytaj też
Oddziały armii i nie tylko
Eksperci wskazują, że do tej pory udało im się potwierdzić siedem skutecznych cyberataków w okresie od czerwca do grudnia 2022 r. Ostrzegają jednak, że kampania jest wciąż kontynuowana, przez co liczba ta może się zwiększyć.
Celem grupy są ministerstwa, agencje rządowe, podmioty wojskowe, a także organizacje non-profit i religijne. Specjaliści Group-IB nie wykluczają, że lista potencjalnych ofiar jest większa.
Chronologia skutecznych cyberataków (wszystkie w 2022 r.)
- czerwiec – organizacja religijna w Wietnamie
- sierpień – organizacja non-profit w Wietnamie
- wrzesień – oddział filipińskiej armii
- październik – oddział malezyjskiej armii
- listopad – dwa włamania do podmiotów rządowych w Bośni i Hercegownie oraz Kambodży
- grudzień – agencja rządowa w Indonezji
Czytaj też
Zaczyna się od maila
W raporcie ekspertów stwierdzono, że początkowym wektorem ataków są ukierunkowane maile typu spear-phishing.
W jednym z przypadków wiadomość miała pochodzić od osoby rzekomo poszukującej pracy. W treści wskazano, że ubiega się ona o przyjęcie na stanowisko stażysty ds. PR i komunikacji, zgodnie z ofertą wystawioną na jednym z portali dla bezrobotnych. Może to oznaczać, że sprawcy przeglądają tablice i na tej podstawie opracowują złośliwe e-maile.
Ponadto, w wiadomości zawarty był skrócony adres URL, który po kliknięciu przenosił ofiarę na witrynę przeznaczoną do udostępniania plików. Tam załączony był plik z wirusem.
Czytaj też
Kampania szpiegowska
Atakującym zależy na kradzieży plików, danych i uzyskaniu dostępu do mikrofonów. Dokonują tego za pomocą dwóch typów złośliwego oprogramowania: „Cucky” i „Ctealer”.
Dodatkowo, hakerzy wykorzystują narzędzia pozwalające na zdalną infekcję urządzeń USB podpiętych do zainfekowanego komputera, a także innych elementów sieci.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu.Piszcie do nas na: [email protected].