Анализ исследования, проведенного командой 404 Advanced Threat Intelligence, позволил обнаружить новую атаку от Patchwork, направленную на Бутан. В ходе этой атаки были использованы новые инструменты, такие как PGoShell и Brute Ratel C4. Организация Patchwork действует с 2014 года и основной целью является правительственные и оборонные организации, а также университеты и исследовательские институты в Азии. За два года организация значительно усовершенствовала свои технологии и постоянно обновляет свой арсенал.
В данной атаке был обнаружен Lnk-файл, который загружал обманный файл и настоящую полезную нагрузку. Эта полезная нагрузка включала в себя PGoShell и инструмент Brute Ratel C4, который является значительным обновлением оружия организации Patchwork.
PGoShell, написанный на языке Go, обеспечивает удаленный доступ к системе и имеет большое количество функций, таких как удаленный shell, загрузка и исполнение файлов, скриншот и другие. Brute Ratel C4, считающийся заменой Cobalt Strike, является фреймворком для красных команд и позволяет управлять файлами, сканировать порты, загружать и скачивать файлы и создавать скриншоты.
PGoShell основан на памяти и обладает защитой от обнаружения на конечном устройстве. Загрузка Brute Ratel C4 также основана на памяти и включает операции по защите от отладки и отсоединения. Злоумышленники активно развивают свой арсенал и улучшают инструменты, что указывает на важность этих оружий для организации Patchwork. Интересно отметить, что PGoShell получил значительное обновление функций и является более продвинутым по сравнению с предыдущими версиями. Это свидетельствует о том, что организация Patchwork добилась значительных результатов и может в дальнейшем чаще использовать эти инструменты для атак.
Indicators of Compromise
Domains
- Beijingtv.org
- Cartmizer.info
- longwang.b-cdn.net