Группа Patchwork, также известная как Hangover и Dropping Elephant, совершает кибератаки с 2009 года, направленные на правительственные организации, научно-исследовательские и образовательные учреждения Китая, Пакистана и других азиатских стран.
Patchwork APT
Они используют образцы атак, основанные на актуальных темах, чтобы заманить цели в открывание вредоносных файлов. Атаки Patchwork включают использование LNK файлов, которые после запуска загружают PDF и EXE/DLL файлы. После этого запускается вредоносный код, который создает задачу для выполнения белого файла. Затем специальная лошадь BadNews загружается в память и выполняет действия, заданные командами с сервера C2. Доменные имена, связанные с Patchwork, имитируют популярные веб-сайты, чтобы уменьшить подозрительность.
Примеры файлов-приманок, связанных с Patchwork, включают "National Key R&D Programme „Engineering Science and Comprehensive Crossover“ Key Special Project 2025 Guideline Suggestion Form", "Internal Audit Report", и "Zong Login Credentials". Эти файлы созданы для заманивания целей и запуска вредоносного кода при открытии. HTTP POST запросы отправляются на домен weixein.info для передачи украденной информации и получения команд от сервера C2.
Patchwork также использует домены sheicen.info и mingyn.org для своей инфраструктуры. Эти домены связаны с вредоносными загрузками и обратными ссылками на вредоносные DLL-файлы. Адреса загрузки файлов-приманок и вредоносных файлов включают hxxps://atus.toproid.xyz/, hxxps://zon.toproid.xyz/ и hxxps://tected.toproid.xyz/.
В ответ на данную кампанию Patchwork, рекомендуется обновить продукты AILPHA Analysis Platform, APT устройства и EDR продукты для обнаружения угроз. Также можно использовать ACE Cloud Sandbox для анализа подозрительных файлов.
Подводя итоги, группа Patchwork продолжает осуществлять кибератаки с помощью ловушек и вредоносных файлов с целью кибершпионажа. Они также используют имитацию доменных имен и зашифрование, чтобы совершить атаки. Важно быть внимательным и использовать обновленные программы и технологии для защиты от подобных угроз.
Indicators of Compromise
IPv4
- 172.81.62.199
Domains
- mingyn.org
- youdoa.info
URLs
- http://ader.taobaoo.info/Pmnt_sheth_shr_gd/ketsuwshe.bin
- https://atus.toproid.xyz/klhju_rdf_gd/ktdfersfr
- https://maticdoc.toproid.xyz/htrdtgf/jyftdrst
- https://mpa.toproid.xyz/h9jUs_hR8_hs/kR9d4HrfE
- https://plete.toproid.xyz/iu8Y7_t5r_t9/ju5U9JuI9
- https://plete.toproid.xyz/U7h6G_g5R_d9/h9A3_4jJu
- https://sheicen.info/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php
- https://stealthcomm.org/YcKOjLMxiwCZfSS/comrCVPEffFiPvF.php
- https://tected.toproid.xyz/iwredt_et4_4fh/y6wTyd5Rt
- https://tected.toproid.xyz/j4Rj7_s6T_hY/u5eTre4rT
- https://uiop.taobaoo.info/hjds45jh/jdkshf
- https://weixein.info/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php
- https://zon.toproid.xyz/aewbf_jsd_td/ktrgdysvt
- https://zon.toproid.xyz/pfetc_ksr_lo/jyuecvdgt
SHA256
- 0dbf54244cb9c115e59f9951c6450f91b684d6d5ec5e1a27be397b3b96ef5430
- 12cf713242ae7eb11eceddbcc535f562f16e5be645f07a87e805e7f4f81b362a
- 7250c63c0035065eeae6757854fa2ac3357bab9672c93b77672abf7b6f45920a
- 74ce1c5bfdfd095a974b5457aa13cb2912fd2f3fe00558793bdb02907dbfd3ce
- 8143a7df9e65ecc19d5f5e19cdb210675fa16a940382c053724420f2bae4c8bd
- 858f47433bbbac47ca53e2b525669ab130c460b3f1b2c8269cf1ee8e47477f1e
- b66434960ea4669d66ddefa173b10207dd4d6bbc5c46f55b9c9e7706fd16f18e
- c01a763ce686f464d2d633f16ddb37e2032b91c10f36e3f187760fb6d7374223