Недавно команда Knownsec 404 Advanced Threat Intelligence выявила подозрительную активность группы Patchwork, направленную на Бутан. В ходе атаки был использован обновленный бэкдор на языке Go, известный как PGoShell, а также новый инструмент для взлома – Brute Ratel C4. Это событие подчеркивает стремление группы к технологическому совершенствованию.
Обзор деятельности Patchwork
Patchwork, также известная как Dropping Elephant, активно действует с 2014 года, целясь на правительственные, оборонные и дипломатические организации, а также на университеты и исследовательские учреждения в Восточной и Южной Азии.
Характер атаки
Атака началась с распространения файла-ловушки в формате .lnk под названием Large_Innovation_Project_for_Bhutan.pdf.lnk. Этот файл выглядел как PDF-документ, но при запуске загружал и выполнял несколько вредоносных компонентов. В частности, скачивались следующие файлы:
- Документ-ловушка для отвлечения внимания пользователей.
- Вредоносная библиотека edputil.dll, выдававшая себя за законный файл.
- Файл Winver.exe, использовавшийся для дальнейшего распространения вредоносного ПО.
Инструменты и методы
Brute Ratel C4
Brute Ratel C4 – это новый инструмент, используемый злоумышленниками для управления файловыми системами, сканирования портов, загрузки и выгрузки файлов, а также захвата экрана. В ходе атаки этот инструмент загружался в память, что усложняло его обнаружение средствами защиты. Обход традиционных механизмов защиты достигался путем сложных методов антивиртуализации и антиотладки.
PGoShell
PGoShell, разработанный на языке Go, был существенно усовершенствован. Теперь он поддерживает удаленное управление, захват экрана и выполнение загрузок. Инструмент собирает информацию о системе, включая IP-адрес, версию ОС, имя пользователя и архитектуру процессора, а затем передает эти данные на сервер злоумышленников. Вся передаваемая информация шифруется с помощью алгоритма RC4 и кодируется в base64.
Выводы
Эта атака подчеркивает растущие возможности группы Patchwork, которая активно обновляет свои инструменты и методы. Использование Brute Ratel C4 и улучшенного PGoShell свидетельствует о высоком уровне подготовки и оснащенности группы.
Patchwork продолжает развивать свои технологии и методы, что делает их атаки все более сложными и труднодетектируемыми. Это требует от целевых организаций усиления мер по кибербезопасности и постоянного мониторинга подозрительной активности в своих сетях.