- 13,854
- 20
- 8 Ноя 2022
Patchwork атакует Бутан.
Недавно команда Knownsec 404 Advanced Threat Intelligence Для просмотра ссылки Войдиили Зарегистрируйся подозрительную активность группы Patchwork, направленную на Бутан. В ходе атаки был использован обновленный бэкдор на языке Go, известный как PGoShell, а также новый инструмент для взлома — Brute Ratel C4. Это событие подчеркивает стремление группы к технологическому совершенствованию.
<h3>Обзор деятельности Patchwork</h3> Patchwork, также известная как Dropping Elephant, активно действует с 2014 года, целясь на правительственные, оборонные и дипломатические организации, а также на университеты и исследовательские учреждения в Восточной и Южной Азии.
<h3>Характер атаки</h3> Атака началась с распространения файла-ловушки в формате .lnk под названием Large_Innovation_Project_for_Bhutan.pdf.lnk. Этот файл выглядел как PDF-документ, но при запуске загружал и выполнял несколько вредоносных компонентов. В частности, скачивались следующие файлы:
<h4>PGoShell</h4> PGoShell, разработанный на языке Go, был существенно усовершенствован. Теперь он поддерживает удаленное управление, захват экрана и выполнение загрузок. Инструмент собирает информацию о системе, включая IP-адрес, версию ОС, имя пользователя и архитектуру процессора, а затем передает эти данные на сервер злоумышленников. Вся передаваемая информация шифруется с помощью алгоритма RC4 и кодируется в base64.
<h3>Выводы</h3> Эта атака подчеркивает растущие возможности группы Patchwork, которая активно обновляет свои инструменты и методы. Использование Brute Ratel C4 и улучшенного PGoShell свидетельствует о высоком уровне подготовки и оснащенности группы.
Patchwork продолжает развивать свои технологии и методы, что делает их атаки все более сложными и труднодетектируемыми. Это требует от целевых организаций усиления мер по кибербезопасности и постоянного мониторинга подозрительной активности в своих сетях.
Недавно команда Knownsec 404 Advanced Threat Intelligence Для просмотра ссылки Войди
<h3>Обзор деятельности Patchwork</h3> Patchwork, также известная как Dropping Elephant, активно действует с 2014 года, целясь на правительственные, оборонные и дипломатические организации, а также на университеты и исследовательские учреждения в Восточной и Южной Азии.
<h3>Характер атаки</h3> Атака началась с распространения файла-ловушки в формате .lnk под названием Large_Innovation_Project_for_Bhutan.pdf.lnk. Этот файл выглядел как PDF-документ, но при запуске загружал и выполнял несколько вредоносных компонентов. В частности, скачивались следующие файлы:
- Документ-ловушка для отвлечения внимания пользователей.
- Вредоносная библиотека edputil.dll, выдававшая себя за законный файл.
- Файл Winver.exe, использовавшийся для дальнейшего распространения вредоносного ПО.
<h4>PGoShell</h4> PGoShell, разработанный на языке Go, был существенно усовершенствован. Теперь он поддерживает удаленное управление, захват экрана и выполнение загрузок. Инструмент собирает информацию о системе, включая IP-адрес, версию ОС, имя пользователя и архитектуру процессора, а затем передает эти данные на сервер злоумышленников. Вся передаваемая информация шифруется с помощью алгоритма RC4 и кодируется в base64.
<h3>Выводы</h3> Эта атака подчеркивает растущие возможности группы Patchwork, которая активно обновляет свои инструменты и методы. Использование Brute Ratel C4 и улучшенного PGoShell свидетельствует о высоком уровне подготовки и оснащенности группы.
Patchwork продолжает развивать свои технологии и методы, что делает их атаки все более сложными и труднодетектируемыми. Это требует от целевых организаций усиления мер по кибербезопасности и постоянного мониторинга подозрительной активности в своих сетях.
- Источник новости
- www.securitylab.ru
