22/07/24
Недавно команда Knownsec 404 Advanced Threat Intelligence выявила подозрительную активность группы Patchwork, направленную на Бутан. В ходе атаки был использован обновленный бэкдор на языке Go, известный как PGoShell, а также новый инструмент для взлома — Brute Ratel C4.
Patchwork, также известная как Dropping Elephant, активно действует с 2014 года, целясь на правительственные, оборонные и дипломатические организации, а также на университеты и исследовательские учреждения в Восточной и Южной Азии, поясняет Securitylab.
Атака началась с распространения файла-ловушки в формате .lnk под названием Large_Innovation_Project_for_Bhutan.pdf.lnk. Этот файл выглядел как PDF-документ, но при запуске загружал и выполнял несколько вредоносных компонентов. В частности, скачивались следующие файлы:
- Документ-ловушка для отвлечения внимания пользователей.
- Вредоносная библиотека edputil.dll, выдававшая себя за законный файл.
- Файл Winver.exe, использовавшийся для дальнейшего распространения вредоносного ПО.
Brute Ratel C4 — это новый инструмент, используемый злоумышленниками для управления файловыми системами, сканирования портов, загрузки и выгрузки файлов, а также захвата экрана. В ходе атаки этот инструмент загружался в память, что усложняло его обнаружение средствами защиты. Обход традиционных механизмов защиты достигался путем сложных методов антивиртуализации и антиотладки.
PGoShell, разработанный на языке Go, был существенно усовершенствован. Теперь он поддерживает удаленное управление, захват экрана и выполнение загрузок. Инструмент собирает информацию о системе, включая IP-адрес, версию ОС, имя пользователя и архитектуру процессора, а затем передает эти данные на сервер злоумышленников. Вся передаваемая информация шифруется с помощью алгоритма RC4 и кодируется в base64.
Эта атака подчеркивает растущие возможности группы Patchwork, которая активно обновляет свои инструменты и методы. Использование Brute Ratel C4 и улучшенного PGoShell свидетельствует о высоком уровне подготовки и оснащенности группы.
