PGoShell: новое слово в арсенале кибертеррористов

Недавно команда Knownsec 404 Advanced Threat Intelligence выявила подозрительную активность группы Patchwork, направленную на Бутан. В ходе атаки был использован обновленный бэкдор на языке Go, известный как PGoShell, а также новый инструмент для взлома – Brute Ratel C4. Это событие подчеркивает стремление группы к технологическому совершенствованию.

Обзор деятельности Patchwork

Patchwork, также известная как Dropping Elephant, активно действует с 2014 года, целясь на правительственные, оборонные и дипломатические организации, а также на университеты и исследовательские учреждения в Восточной и Южной Азии.

Характер атаки

Атака началась с распространения файла-ловушки в формате .lnk под названием Large_Innovation_Project_for_Bhutan.pdf.lnk. Этот файл выглядел как PDF-документ, но при запуске загружал и выполнял несколько вредоносных компонентов. В частности, скачивались следующие файлы:

  1. Документ-ловушка для отвлечения внимания пользователей.
  2. Вредоносная библиотека edputil.dll, выдававшая себя за законный файл.
  3. Файл Winver.exe, использовавшийся для дальнейшего распространения вредоносного ПО.

Инструменты и методы

Brute Ratel C4

Brute Ratel C4 – это новый инструмент, используемый злоумышленниками для управления файловыми системами, сканирования портов, загрузки и выгрузки файлов, а также захвата экрана. В ходе атаки этот инструмент загружался в память, что усложняло его обнаружение средствами защиты. Обход традиционных механизмов защиты достигался путем сложных методов антивиртуализации и антиотладки.

PGoShell

PGoShell, разработанный на языке Go, был существенно усовершенствован. Теперь он поддерживает удаленное управление, захват экрана и выполнение загрузок. Инструмент собирает информацию о системе, включая IP-адрес, версию ОС, имя пользователя и архитектуру процессора, а затем передает эти данные на сервер злоумышленников. Вся передаваемая информация шифруется с помощью алгоритма RC4 и кодируется в base64.

Выводы

Эта атака подчеркивает растущие возможности группы Patchwork, которая активно обновляет свои инструменты и методы. Использование Brute Ratel C4 и улучшенного PGoShell свидетельствует о высоком уровне подготовки и оснащенности группы.

Patchwork продолжает развивать свои технологии и методы, что делает их атаки все более сложными и труднодетектируемыми. Это требует от целевых организаций усиления мер по кибербезопасности и постоянного мониторинга подозрительной активности в своих сетях.

Public Release.