Группа хакеров Patchwork APT, также известная под названиями Dropping Elephant, Monsoon и Hangover Group, продолжает демонстрировать высокую активность в регионах Южной и Юго-Восточной Азии. Согласно последним исследованиям, злоумышленники используют усовершенствованные методы социальной инженерии и многослойное шифрование для сбора политической и военной разведывательной информации.
Описание
Активность группировки отслеживается с 2015 года. В отличие от многих других продвинутых APT группировок, Patchwork редко разрабатывает собственные эксплойты, предпочитая модификацию существующих инструментов. Однако это не мешает им достигать значительных успехов благодаря тщательно проработанным фишинговым кампаниям и многоуровневой обфускации вредоносного кода.
В последней обнаруженной атаке злоумышленники используют документ с макросом, который загружает вредоносный LNK-файл. Этот файл содержит PowerShell-скрипт, выполняющий несколько последовательных действий. Сначала скрипт загружает исполняемый файл и сохраняет его в системной директории C:\Windows\Tasks под именем lama, маскируя его под легитимный медиаплеер VLC (vlc.exe). Параллельно загружается библиотека libvlc.dll, которую поддельный исполняемый файл использует для side-loading атаки - техники, позволяющей загружать malicious код через легитимные процессы.
Для отвлечения внимания жертвы вредоносное ПО загружает документ PDF из контролируемого злоумышленниками URL и сохраняет его в публичной папке. Затем создается запланированная задача Windows с именем WindowsErrorReport, обеспечивающая persistence вредоносной активности. Финальный payload устанавливает соединение с командным сервером (C2). Анализ показал, что исполняемые файлы скомпилированы с использованием MSIL-компилятора.
Ключевым элементом инфраструктуры является метод fStage, который инициирует коммуникацию между зараженной системой и C2-сервером. Метод собирает системную информацию, шифрует идентификатор клиента с помощью XOR с hardcoded ключом "eOvstoxSBbZGWsTtknc", затем применяет base64-кодирование и дополнительную обфускацию через Protean. Для передачи данных используется POST-запрос с обязательным использованием TLS 1.2, что обеспечивает скрытность коммуникации.
Метод SStage расширяет сбор информации, включая публичный IP-адрес, версию операционной системы, MAC-адрес, имя пользователя, права администратора и идентификатор процесса. Все собранные данные проходят многоуровневое шифрование перед отправкой на сервер. Одновременно запускается метод bkj, который через WMI-запросы собирает информацию об установленном программном обеспечении и антивирусных продуктах.
Особенностью последней кампании является метод _getCommand, который имитирует легитимный веб-трафик, используя стандартные HTTP-заголовки. Полученные с сервера команды проходят многоступенчатую дешифровку, включая кастомную функцию Charm(), base64-декодирование и XOR-дешифровку с сессионным ключом. При неудачных попытках malware переходит в режим повторных попыток с задержками до 20 раз.
Для выполнения команд используется метод cdm, который запускает cmd.exe в скрытом режиме с перенаправлением потоков вывода. Результаты выполнения команд передаются через метод _sendResult, где данные кодируются, обфусцируются и разбиваются на чанки для скрытной передачи. Метод dfile обеспечивает загрузку файлов с удаленных URL с последующей обработкой и сохранением во временной директории.
Особого внимания заслуживает функция v_alloc, которая выполняет динамическое выделение исполняемой памяти и создание потоков для запуска произвольного кода - распространенная техника fileless-атак. Дополнительно malware может делать скриншоты всех подключенных мониторов через метод scrt, сохранять их в формате PNG и передавать на сервер с последующим удалением локальных копий.
Эксперты отмечают, что группировка Patchwork демонстрирует системный подход к организации C2-инфраструктуры. Использование динамических ключей шифрования, механизмов повторных попыток при сбоях и минимизация следов на диске позволяют ВПО долгое время оставаться незамеченным. Специалисты по кибербезопасности рекомендуют организациям из целевых регионов усилить мониторинг необычной активности PowerShell, обращать внимание на подозрительные запланированные задачи и использовать современные антивирусные решения с функциями поведенческого анализа. Своевременное обновление защитного программного обеспечения остается критически важным элементом противодействия подобным угрозам.
Индикаторы компрометации
URLs
- https://driftlance.org/bIHTfcVHegEoMrv/WCcod7JY3zwUpDH.php
- https://nr3cgovpk.org/
MD5
- 8c342a5519400df4044e2ed75ea5a936
- 92c13c07a4459bc5bae59bdea17284de
- dfbdd34e0e463bb2266cab599396aa02
