Patchwork APT IOCs - Part 3

security IOC

Группа Patchwork, также известная как Hangover и Dropping Elephant, совершает кибератаки с 2009 года, направленные на правительственные организации, научно-исследовательские и образовательные учреждения Китая, Пакистана и других азиатских стран.

Patchwork APT

Они используют образцы атак, основанные на актуальных темах, чтобы заманить цели в открывание вредоносных файлов. Атаки Patchwork включают использование LNK файлов, которые после запуска загружают PDF и EXE/DLL файлы. После этого запускается вредоносный код, который создает задачу для выполнения белого файла. Затем специальная лошадь BadNews загружается в память и выполняет действия, заданные командами с сервера C2. Доменные имена, связанные с Patchwork, имитируют популярные веб-сайты, чтобы уменьшить подозрительность.

Примеры файлов-приманок, связанных с Patchwork, включают "National Key R&D Programme „Engineering Science and Comprehensive Crossover“ Key Special Project 2025 Guideline Suggestion Form", "Internal Audit Report", и "Zong Login Credentials". Эти файлы созданы для заманивания целей и запуска вредоносного кода при открытии. HTTP POST запросы отправляются на домен weixein.info для передачи украденной информации и получения команд от сервера C2.

Patchwork также использует домены sheicen.info и mingyn.org для своей инфраструктуры. Эти домены связаны с вредоносными загрузками и обратными ссылками на вредоносные DLL-файлы. Адреса загрузки файлов-приманок и вредоносных файлов включают hxxps://atus.toproid.xyz/, hxxps://zon.toproid.xyz/ и hxxps://tected.toproid.xyz/.

В ответ на данную кампанию Patchwork, рекомендуется обновить продукты AILPHA Analysis Platform, APT устройства и EDR продукты для обнаружения угроз. Также можно использовать ACE Cloud Sandbox для анализа подозрительных файлов.

Подводя итоги, группа Patchwork продолжает осуществлять кибератаки с помощью ловушек и вредоносных файлов с целью кибершпионажа. Они также используют имитацию доменных имен и зашифрование, чтобы совершить атаки. Важно быть внимательным и использовать обновленные программы и технологии для защиты от подобных угроз.

Indicators of Compromise

IPv4

  • 172.81.62.199

Domains

  • mingyn.org
  • youdoa.info

URLs

  • http://ader.taobaoo.info/Pmnt_sheth_shr_gd/ketsuwshe.bin
  • https://atus.toproid.xyz/klhju_rdf_gd/ktdfersfr
  • https://maticdoc.toproid.xyz/htrdtgf/jyftdrst
  • https://mpa.toproid.xyz/h9jUs_hR8_hs/kR9d4HrfE
  • https://plete.toproid.xyz/iu8Y7_t5r_t9/ju5U9JuI9
  • https://plete.toproid.xyz/U7h6G_g5R_d9/h9A3_4jJu
  • https://sheicen.info/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php
  • https://stealthcomm.org/YcKOjLMxiwCZfSS/comrCVPEffFiPvF.php
  • https://tected.toproid.xyz/iwredt_et4_4fh/y6wTyd5Rt
  • https://tected.toproid.xyz/j4Rj7_s6T_hY/u5eTre4rT
  • https://uiop.taobaoo.info/hjds45jh/jdkshf
  • https://weixein.info/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php
  • https://zon.toproid.xyz/aewbf_jsd_td/ktrgdysvt
  • https://zon.toproid.xyz/pfetc_ksr_lo/jyuecvdgt

SHA256

  • 0dbf54244cb9c115e59f9951c6450f91b684d6d5ec5e1a27be397b3b96ef5430
  • 12cf713242ae7eb11eceddbcc535f562f16e5be645f07a87e805e7f4f81b362a
  • 7250c63c0035065eeae6757854fa2ac3357bab9672c93b77672abf7b6f45920a
  • 74ce1c5bfdfd095a974b5457aa13cb2912fd2f3fe00558793bdb02907dbfd3ce
  • 8143a7df9e65ecc19d5f5e19cdb210675fa16a940382c053724420f2bae4c8bd
  • 858f47433bbbac47ca53e2b525669ab130c460b3f1b2c8269cf1ee8e47477f1e
  • b66434960ea4669d66ddefa173b10207dd4d6bbc5c46f55b9c9e7706fd16f18e
  • c01a763ce686f464d2d633f16ddb37e2032b91c10f36e3f187760fb6d7374223
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий