Группировка APT, известная как Patchwork или White Elephant, представляет собой серьезную угрозу кибербезопасности, активно действующую с 2009 года. Предполагается, что она имеет связи с правительством Южной Азии и нацелена на такие важные секторы, как вооруженные силы, дипломатия и научные исследования в странах, включая Китай, Пакистан и Бангладеш. Основной задачей данной группы является утечка конфиденциальной информации.
Методы атак Patchwork
Patchwork использует разнообразные методы для осуществления своих атак. Наиболее распространенными являются:
- Фишинг: злоумышленники распространяют фальшивые файлы LNK, замаскированные под PDF-документы.
- Загрузка вредоносного ПО: с использованием сценариев PowerShell файлы загружают зараженное программное обеспечение с серверов управления (C2).
Используемые вредоносные программы
В арсенале Patchwork имеются различные семьи вредоносного ПО, среди которых:
- BADNEWS — троян, используемый для кражи данных.
- Spyder backdoor — средство для удаленного управления системами.
- Remcos RAT — популярный инструмент для получения доступа к компьютерам.
- Havoc C2 и NorthStarC2 — системы управления, используемые для координации атак.
- GRAT — механизм сохранения данных, обеспечивающий долговременное присутствие в системе.
Совершенствование методов атаки
Недавние анализы данных о угрозах продемонстрировали, что вредоносное ПО, использующееся группой, было скомпилировано 20 января 2025 года, что свидетельствует о постоянном совершенствовании их арсенала. Процесс эксплуатации включает в себя:
- Внедрение расшифрованных данных в активные процессы.
- Выполнение шелл-кода с применением асинхронных вызовов процедур (APC).
- Расшифровка зашифрованных данных, закодированных в шеллкоде, что затрудняет обнаружение для защитников.
Выводы и рекомендации
Постоянные угрозы со стороны APT-групп, таких как Patchwork, создают серьезные проблемы для глобальных предприятий. Это подчеркивает необходимость внедрения передовых мер безопасности и улучшения аналитических возможностей. Группы, занимающиеся кибербезопасностью, должны:
- Совершенствовать методологии анализа угроз.
- Разрабатывать новые подходы к выявлению вредоносных программ.
- Обеспечивать постоянный мониторинг черной деятельности групп злоумышленников.
Поддержание надежной системы кибербезопасности требует неустанного анализа вредоносных программ и тщательного отслеживания действий хакеров.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Группировка Patchwork: Эволюция APT-угроз и новые методы атак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.