Patchwork: Новые угрозы от APT-C-09 в Южной Азии

Организация Patchwork, также известная как Dropping Elephant или APT-C-09, приобрела дурную славу благодаря своим изощренным кибератакам, нацеленным на правительственные учреждения и образовательные учреждения в Южной Азии, в частности в Китае, Пакистане и Бангладеш. Эта группа APT (АПТ) использует специально разработанные инструменты и разрабатывает сложные цепочки атак, адаптированные к геополитическим и экономическим целям.

Методы атаки: социальная инженерия и сложные цепочки

Отличительной чертой деятельности Patchwork является использование тактик социальной инженерии, таких как:

• фишинговые электронные письма;
• замаскированные документы.

Эти подходы позволяют злоумышленникам привлекать жертв к выполнению вредоносных программ, которые извлекают конфиденциальную информацию или устанавливают бэкдор-программы.

Цепочки атак

Недавний анализ выявил две основные цепочки атак, связанных с деятельностью Patchwork:

1. Первая цепочка включает использование файлов LNK для обмана пользователей с целью загрузки вредоносных PDF-файлов, библиотек DLL и зашифрованного шеллкода. Это приводит к запуску собственной вредоносной программы BadNews.

2. Вторая цепочка аналогично использует файлы LNK, но повышает сложность за счет вызова удаленных сценариев PowerShell, объединяя белые и черные методы и загрузку с шифрованием. Это заканчивается развертыванием платформы Havoc framework.

Инфраструктура и замаскированные домены

Инфраструктура организации включает в себя значительное количество поддельных доменных имен, имитирующих законные учреждения. Эти домены были стратегически выбраны для таких секторов, как:

• дипломатия;
• технологии.

Стратегия выбора доменов свидетельствует о продуманных инвестициях на этапе подготовки атак для повышения их скрытности и вероятности успеха.

Примеры атак и геополитический интерес

Глубокое изучение конкретных примеров атак демонстрирует методологию Patchwork. В одном случае:

• Приманка для атаки была замаскирована под документ, относящийся к национальным проектам, что привело к тому, что жертвы запустили файл LNK, который последовательно загружал и запускал несколько уровней вредоносного контента.
• Другой случай связан с фишинговым электронным письмом, отправленным официальному лицу Бангладеш, в котором содержался ответ о мошеннических транзакциях, что привело к загрузке вредоносного DLL-файла непосредственно в OneDrive для выполнения.

Хотя многие операции были направлены на локальные цели, Patchwork расширила свою деятельность, проводя атаки по всей Южной Азии, что указывает на их более широкий геополитический интерес.

Рекомендации по кибербезопасности

В ответ на меняющийся ландшафт угроз, создаваемый Patchwork, организациям настоятельно рекомендуется:

• усилить свою защиту от фишинговых атак;
• отслеживать необычную сетевую активность;
• регулярно обновлять информацию об угрозах для предотвращения подобных атак APT.

Наличие сложных механизмов атаки, особенно тех, которые включают многоуровневые методы эксплуатации, требует активного подхода к обеспечению кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.