Patchwork: LNK-файлы превратились в кошмар науки

Компания Hunting Shadow Lab обнаружила новые атаки группы Patchwork, направленные на научные организации Китая с целью заражения рабочих компьютеров вредоносным ПО.

APT-группа Patchwork (Hangover и Dropping Elephant), предположительно спонсируемая властями Индии, начала свою деятельность в 2009 году, когда проводила кибершпионские атаки в Азии, включая Китай и Пакистан. Атаки часто ориентированы на госучреждения и научные организации. Группа использует Windows, Android и macOS для реализации своих целей.

Обнаруженное изменение в атаках группы подразумевает использование в фишинговой атаке документа, связанного с научно-исследовательскими проектами Китая, что свидетельствует о продолжающемся интересе группы к научным и техническим секторам.

Атака начиналась с LNK-файла, который при открытии скачивал вредоносные файлы (PDF, EXE и DLL). PDF файл открывался первым, чтобы скрыть подозрения, а затем система автоматически запускала другие вредоносные программы. В процессе атаки создавался планировщик задач, который запускал вредоносное ПО в фоновом режиме. Программы загружались в память компьютера и несколько раз расшифровывались, чтобы запустить вредоносный код под названием BadNews.

Кроме того, установленные программы также использовали сертификаты, которые ранее применялись группой в аналогичных атаках. Такие действия обеспечивали скрытность и трудность обнаружения атаки.

Также хакеры использовали поддельные домены, имитирующие настоящие сайты, чтобы скрыть свою деятельность. Например, были подделаны сайты авиакомпании Pakistan International Airlines и крупнейшего пакистанского провайдера связи Zong.

Самым важным элементом атак была активная передача информации на C2-сервер. С помощью зашифрованных данных, передаваемых на сервер, атакующие могли получать подробную информацию о жертвах, включая данные о системе и пользователях, а также загружать дополнительные вредоносные файлы для дальнейших действий.

В результате анализа доменов исследователи обнаружили новые поддельные сайты, использующие имена и логотипы известных компаний и организаций, такие как Global News и Scandinavian Airlines. Все сайты служат для распространения дополнительных вредоносных программ.

Атака подчеркивает продолжающуюся угрозу со стороны кибершпионских группировок, которые используют все более сложные методы для скрытия своей деятельности и обхода защитных механизмов. Важно, чтобы организации своевременно обновляли свои системы безопасности, интегрируя актуальные индикаторы компрометации IoC и пользуясь инструментами для анализа угроз. Также использование облачных сервисов для анализа подозрительных файлов может значительно повысить уровень защиты от таких атак.