Kötü şöhretli Oceanlotus Apt’in yeni tanımlanmış bir alt türü olan Darkssamural, Pakistan’da yüksek değerli organizasyonları hedefleyen sofistike bir kampanya başlattı.
Grimresource teknolojisi tarafından güçlendirilen PDF belgeleri ve sofistike MSC kapsayıcıları olarak maskelenen kötü niyetli LNK dosyalarından yararlanan grup, kritik verileri söndürmek için tasarlanmış çok aşamalı bir yük sağladı.
Derinlemesine örnek ve korelasyon analizinden sonra, siber güvenlik araştırmacıları Darkssamural’ın operasyonlarını patchwork tarafından düzenlenen sahte bayrak taahhütleri olarak ele aldı.
APT Grubu 72 olarak da bilinen Patchwork, 2009 civarında ortaya çıktı, ancak Cymmetria’nın kapsamlı casusluk operasyonlarını ortaya çıkardığı 2015 yılında sadece uluslararası öneme sahipti.
Birincil hedefleri arasında Çin, Pakistan ve Bangladeş’teki askeri, diplomatik, eğitimsel ve bilimsel araştırma kurumları yer alıyor.
Patchwork’ün ayırt edici özelliği mızrak aktı: zararsız görünen ancak kötü niyetli yürütülebilir ürünleri gizleyen eklerle e-postalar hazırlamak. Bu kampanyada, saldırganlar Windows MSC dosyalarını kullandı ve kurbanları yanlış yönlendirmek için PDF simgeleri ile gizledi.
Açıldıktan sonra, bu kaplar çağırıyor mmc.exe Bir ActiveX nesnesi yüklemek için, gömülü JavaScript’in uzak komut ve kontrol sunucularından sonraki yükleri getirmesini ve yürütmesini sağlar.
Patchwork, tescilli ve açık kaynaklı araçların bir cephaneliğini korur. Dizileri, gizli uzaktan erişim için BadNews sıçanını, basit C2 iletişimi için Quasarrat ve Asyncrat’ı, modüler penetrasyon testi çerçevesi olarak efsanevi, ticari Remcos sıçan ve NorthStarc2’yi içerir.
Grup, bu araçlarda bisiklet sürerek, tehlikeye atılan ortamlar üzerinde sürekli kontrol sağlar ve imza tabanlı savunmalardan kaçınır.
Taktikler, teknikler ve prosedürler
İlk uzlaşma, “drone_information.pdf.msc” olarak etiketlenmiş sıkıştırılmış bir arşiv içeren aldatıcı e -postalara bağlıdır. İnfaz edildiğinde, .msc Dosya Grimresource’u şifresini çözmek ve çalıştırmak için kullanır, daha sonra ikinci aşamalı bir HTML dosyasını indiren JScript’i çalıştırmak Unit-942-Drone-Info-MAK3.html.
Bu dosya iki katmanlı gizlenmiş JavaScript içerir. İlk katman, bir XSLT dönüşümünü tetikler CLSID{2933BF90-7B36-11D2-B20E-00C04F983E60}uzak bir URL’den ek komut dosyası getirme. İkinci katman gerçek yükü indirir –Drone_Information.pdf-ile C:\Users\Public.
Tespitten kaçınmak için, JavaScript çoklu katmanlar arasında büyük ölçüde gizlenirken, dism.exe yeniden adlandırılan kötü amaçlı bir DLL yan yükü için yeniden tasarlandı DismCore.dll.
Kalıcılık, adlandırılan planlanan görevleri kaydederek elde edilir MicrosoftEdgeUpdateTaskMachineCoreXUI ve başlangıç girişleri oluşturmak.
İmplant bir kez ikamet ettikten sonra, C:\ProgramData\6092E833-F189-4160-951D.log Yeniden adlandırmadan önce DismCore.dll ve ihracatını çağırıyor DllRegisterServerAPI adreslerini dinamik olarak çözen ve efsanevi ajanı ortaya çıkaran.
Korelasyon bulguları
29 Mayıs 2025’te derlenen efsanevi ajan, C2 ile iletişime geçiyor. https://d11d6t6zp1jvtm.cloudfront.net/data AES-HMAC şifrelemesini kullanarak.
Winhttp API’leri aracılığıyla istekleri oluşturur ve IV değerlerini paylaşılan 256 bit anahtarla şifrelenmiş yüklere ekler. Her check-in sırasında, implant raporları ana bilgisayar detayları (işletim sistemi, kullanıcı, ana bilgisayar adı, PID ve UUID) meşru efsanevi trafik kalıpları.
Bu örneğin eylem alanındaki kontrol bayrağı, çevrimiçi paket veri yapısı ve şifreleme yöntemi (AES-128-GCM).
Özellikle, HTML lure sayfası, karanlık samuraylara bağlılık iddia eden Vietnamca dil markası içeriyor ve kasıtlı bir yanlış yönlendirme öneriyor.
Bu alanların ve ek ProteGo örneklerinin korelasyon analizi, araştırmacıların tüm operasyonu patchwork’le ilişkilendirmeye yönlendirerek, Darkssamural’ı tehdit istihbarat toplulukları arasında karışıklık ekmek için tasarlanmış amaçlı bir sahte bayrak olarak işaretledi.
Kampanya ilerledikçe, Güney Asya ve ötesindeki kuruluşlar e-posta filtrelemesini güçlendirmeli, görünüşte iyi huylu belge dosyalarını incelemeli ve çok katmanlı komut dosyalarını ayrıştırabilen davranışsal algılama kullanmalıdır.
Patchwork’ün gelişen araç seti ile savunucular, aldatma ve hızlı araç zinciri rotasyonunda zorlu bir düşman ustası ile karşı karşıya.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.