Organisasi Indonesia Jadi Target Serangan Grup Hacker Dark Pink
Berita Cybersecurity, Grup Hacker Dark Pink - Grup hacker yang dikenal dengan nama Dark Pink kembali muncul dengan kegiatan yang semakin intensif di tahun 2023. Menurut laporan dari perusahaan keamanan Group-IB, kelompok ini aktif menargetkan organisasi pemerintah, militer, dan pendidikan di Indonesia, Brunei, dan Vietnam.
Kehadiran Dark Pink telah terdeteksi sejak pertengahan tahun 2021, dengan fokus utama pada entitas di kawasan Asia-Pasifik. Namun, baru pada bulan Januari 2023, mereka mulai terungkap ke publik.
Penelitian yang dilakukan oleh para ahli mengungkapkan bukti baru tentang serangan Dark Pink terhadap lembaga pendidikan di Belgia dan badan militer di Thailand. Kelompok ini terus beroperasi tanpa menunjukkan tanda-tanda perlambatan.
"Setelah publikasi laporan sebelumnya, kami telah mengidentifikasi setidaknya lima serangan tambahan yang dilakukan oleh grup ini," ungkap Group-IB.
Dalam serangan terbarunya, Dark Pink menggunakan serangkaian taktik yang ditingkatkan, termasuk implementasi mekanisme persistensi yang berbeda dan penggunaan alat baru untuk eksfiltrasi data. Mereka berusaha menghindari deteksi dengan menjauhkan operasi mereka dari indikator kompromi yang umumnya tersedia.
Para peneliti melaporkan bahwa Dark Pink masih menggunakan metode spear-phishing untuk melakukan infeksi awal. Mereka mengirimkan arsip ISO yang terinfeksi melalui email, dan ketika korban membuka file tersebut, sebuah pintu belakang yang kuat, yang dikenal sebagai 'TelePowerBot' dan 'KamiKakaBot', akan diluncurkan menggunakan pemuatan samping DLL.
Salah satu perkembangan terbaru adalah pemisahan fungsi KamiKakaBot menjadi dua bagian yang berbeda, yaitu kontrol perangkat dan pencurian data. Selain itu, implan malware sekarang dimuat langsung dari memori tanpa menyentuh disk, sehingga menghindari deteksi oleh program antivirus yang biasanya hanya memantau proses yang dimulai dari disk.
"KamiKakaBot terus mengincar data yang tersimpan di peramban web dan mengirimkannya ke penyerang melalui Telegram. Selain itu, pintu belakang ini juga dapat mengunduh dan menjalankan skrip arbitrer di perangkat yang terinfeksi," jelas perusahaan tersebut.
Group-IB juga mengungkapkan bahwa Dark Pink menggunakan repositori GitHub pribadi untuk menyimpan modul tambahan yang diunduh oleh malware-nya ke sistem yang berhasil disusupi. Sejak awal tahun 2023, pelaku ancaman ini hanya melakukan 12 komitmen di repositori tersebut. Mereka terutama menambahkan atau memperbarui dropper malware, skrip PowerShell, pencuri info ZMsg, dan alat eskalasi hak istimewa Netlua.
Salah satu skrip PowerShell yang sangat penting dalam strategi pergerakan lateral Dark Pink adalah identifikasi dan interaksi dengan saham SMB di jaringan yang terinfeksi. Skrip ini mengunduh arsip
ZIP dari GitHub, menyimpannya di direktori lokal, dan membuat file LNK di setiap saham SMB yang mengarah ke file berbahaya di dalam arsip.
Ketika file LNK ini dibuka, executable berbahaya akan diluncurkan, memungkinkan Dark Pink menyebar ke seluruh jaringan dan menginfeksi sistem tambahan. Grup ini juga menggunakan perintah PowerShell untuk memeriksa keberadaan perangkat lunak dan alat pengembangan yang dapat disalahgunakan dalam operasinya.
Beberapa alat yang sering digunakan oleh Dark Pink adalah 'AccCheckConsole.exe', 'remote.exe', 'Extexport.exe', 'MSPUB.exe', dan 'MSOHTMED.exe'. Alat-alat ini dapat dieksploitasi untuk eksekusi proxy, pengunduhan payload tambahan, dan banyak lagi.
Namun, perlu dicatat bahwa hingga saat ini belum terlihat contoh penyalahgunaan alat-alat ini dalam serangan yang teramati. Group-IB melaporkan bahwa Dark Pink kini semakin bervariasi dalam metode eksfiltrasi data mereka, tidak hanya mengandalkan pengiriman arsip ZIP melalui Telegram.
Dalam beberapa kasus, penyerang menggunakan Dropbox untuk mengunggah data yang dicuri, sementara dalam kasus lain, mereka menggunakan eksfiltrasi melalui HTTP menggunakan titik akhir sementara yang dibuat melalui layanan "Webhook.site" atau server Windows. Skrip yang disebutkan sebelumnya juga memiliki kemampuan untuk mengekstraksi data dengan membuat objek WebClient baru untuk mengunggah file ke alamat eksternal menggunakan metode PUT setelah menentukan lokasi file target di komputer yang terinfeksi.
Dalam kesimpulannya, Group-IB mencatat bahwa Dark Pink tidak merasa terintimidasi dengan paparan sebelumnya dan kemungkinan besar akan terus mengembangkan alat dan metode serangan mereka. Dengan upaya terus-menerus untuk memperbarui strategi mereka, Dark Pink tetap menjadi ancaman serius bagi organisasi pemerintah, militer, dan pendidikan di Asia-Pasifik.
Posting Komentar untuk "Organisasi Indonesia Jadi Target Serangan Grup Hacker Dark Pink"