Patchwork имитирует OceanLotus в атаках на Пакистан

Группировка Patchwork, впервые обнаруженная около 2009 года, имеет долгую историю атак на организации в Южной Азии, включая Китай, Пакистан и Бангладеш. Их основными целями традиционно являются военно-промышленный комплекс, дипломатические миссии, образовательные и научно-исследовательские учреждения. Конечная цель - кража конфиденциальных данных.

В последней кампании начальным вектором атаки стала фишинговая рассылка. Злоумышленники отправляли целевым жертвам письма с темой, связанной с беспилотными летательными аппаратами, что особенно актуально для пакистанского региона. В письмах содержалась ссылка для загрузки ZIP-архива. Внутри архива находился файл с двойным расширением «Drone_Information.pdf.msc», маскирующийся под безобидный PDF-документ.

На самом деле, MSC-файл - это консоль управления Microsoft (Microsoft Management Console), который злоумышленники использовали для запуска сценария с помощью технологии GrimResource. Этот метод позволяет исполнять JavaScript-код, замаскированный в структуре файла, который, в свою очередь, загружал следующий этап вредоносной полезной нагрузки с удаленного сервера.

Анализ образцов показал многоуровневую обфускацию кода для избежания обнаружения. Интересной деталью стала находка на загрузочном сервере: страница на вьетнамском языке, где злоумышленники открыто заявляли о своей принадлежности к группировке Dark Samural, якобы входящей в состав OceanLotus. Однако технические детали, такие как структура URL-адресов и характеристики образцов, однозначно указали на принадлежность операции к группе Patchwork, что подтверждает гипотезу о ложном флаге.

После выполнения скрипта на компьютер жертвы загружалась библиотека DismCore.dll, которая на самом деле является экземпляром трояна Mythic - открытого инструмента для удаленного управления. Для обеспечения устойчивости в системе создавалась запланированная задача с названием, имитирующим легитимный процесс обновления Microsoft Edge. Этот троянец затем устанавливал связь с командным сервером (C2), используя для шифрования трафика алгоритм AES-256-HMAC, что затрудняет его обнаружение сетевыми системами защиты.

Конечной целью атаки был полный контроль над системой, кража данных, включая пароли из браузеров, и дальнейшая разведка в целевой сети. Использование популярного фреймворка Mythic, который является легитимным инструментом для тестирования на проникновение, еще раз подчеркивает тенденцию APT-групп использовать доступные и легко настраиваемые инструменты для усложнения их атрибуции.

Domains

• climberrise.org
• d11d6t6zp1jvtm.cloudfront.net
• foundersthub.org
• funen.org
• laddervector.org
• lymetrax.org
• mdridefys.info
• snugluxe.org
• tamolwebtech.org

URLs

• https://caapakistaan.com/biuA873q4jIUBoaFibnoianbscoia/Drone_information.pdf
• https://caapakistaan.com/ncUiihbouibCIOWoin983oi/Unit-942-BoosterEngineF8-MAK8.html
• https://caapakistaan.com/ncUiihbouibCIOWoin983oi/Unit-942-Drone-Info-MAK3.html
• https://climberrise.org/bIHTfcVHegEoMrv/WCcod7JY3zwUpDH.php
• https://datamero.org/biuA873q4jIUBoaFibnoianbscoia/Aviation_Telecom_Collaboration_Proposal_Template.xlsx
• https://foundersthub.org/bIHTfcVHegEoMrv/WCcod7JY3zwUpDH.php
• https://funen.org/xyzxyzhanoiwhb3237gb2wahabjiki/Roar-8927cseFCGE-greenpanda.html
• https://laddervector.org/bIHTfcVHegEoMrv/WCcod7JY3zwUpDH.php
• https://mdridefys.info/bIHTfcVHegEoMrv/WCcod7JY3zwUpDH.php
• https://siasat.top/xyzxyzhanoiwhb3237gb2wahabjiki/vuznbe3fbo234t34-snake-2723.html
• https://snugluxe.org/biuA873q4jIUBoaFibnoianbscoia/OperationCharizard-xiwuz-928712-swowski-unit942.html
• https://snugluxe.org/biuA873q4jIUBoaFibnoianbscoia/OperationPikachu-nazisus-826chawski-unit942.html
• https://tamolwebtech.org/bIHTfcVHegEoMrv/WCcod7JY3zwUpDH.php

MD5

• 166261543ac5dca43254ff216b8acb92
• 8b0ae47f442a7bf71d8973bc7f3deca7
• b395d5571a520d22c080cdd9fbeaaee4
• dd802736eeb826079fa8a0cd08d74c0e
• f0c8db7847e5593579d33018f90de8df