Patchwork adlı siber casusluk grubu, çeşitli takma adlarla da biliniyor ve 2009’dan beri faaliyet gösteriyor ve öncelikli olarak hükümet, askeri ve sanayi gibi sektörlerdeki Asyalı kuruluşları hedef alıyor.
Güney Asya merkezli grup, on yıldan fazla bir süredir siber casusluk faaliyetleri yürütüyor ve faaliyetleri hedeflerinden hassas bilgileri ele geçirmeye odaklanıyor. Bu durum, grubun bölgenin siber güvenlik ortamına yönelik sürekli tehdidini ortaya koyuyor.
Son zamanlarda, ekran görüntüsü alma ve dosya bilgisi toplama için iki steganografik bileşen dağıtan yeni bir varyant keşfedildi. Spyder indiricisinin temel işlevselliği değişmeden kalırken, kod yapısı ve C&C iletişim biçimi değiştirildi.
Saldırı süreci, Spyder indiricisinin sonraki bileşenleri içeren şifrelenmiş ZIP paketlerini uzaktan indirmesini ve çalıştırmasını içerir.
İndirilen dosyaların içinde gizlenen steganografik bileşenler, ekran görüntüleri almak ve dosya bilgilerini toplamak için kullanılıyor ve bu da hassas verilerin tehlikeye atılmasına neden olabiliyor.
Örnekler üç potansiyel kötü amaçlı dosyanın varlığını gösteriyor. “eac_launcher.exe” MD5 karmasıyla tanımlanan bir casus yazılım indiricisidir. “IntelPieService.exe” yetkisiz veri toplama için kullanılabilecek bir ekran görüntüsü bileşenidir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial
“RstMwService.exe” bir dosya şifre çözme bileşenidir ve bu, Şubat ve Haziran 2024 arasında çeşitli zamanlarda derlenen ve kötü amaçlı faaliyetlerle ilişkilendirilen fidye yazılımı faaliyetlerinde potansiyel olarak rol oynadığını düşündürmektedir.
Önceki sürümlerde şifrelenen dosyalardan farklı olarak, kendisini bir Word belgesi gibi gizler ve trafik sahteciliği tekniklerini kullanarak Google API’leri ve Github gibi meşru web sitelerine giden trafiği taklit ederek yapılandırma verilerini doğrudan koda enjekte eder.
Ayrıca sistem DLL’lerini kurcalamaya çalışır ve kendi kendini çoğaltma görevlerini zamanlar. Komuta ve kontrol sunucusuyla (“C2”) iletişim, makinenin benzersiz tanımlayıcısı ve potansiyel olarak sürümle ilgili bir dize içeren Base64 kodlu bir JSON dizesi göndermeyi içerir.
Bu ilk temas, indiricinin enfekte cihaz hakkında bilgi toplayıp toplamaması ve potansiyel olarak ek bileşenler indirip indirmemesi gerektiğini belirler.
Kötü amaçlı yazılım önce cihaz bilgilerini toplaması gerekip gerekmediğini görmek için C2 sunucusuyla görüşür. Eğer gerekiyorsa, ana bilgisayar adını, kullanıcı kimliğini, işletim sistemi sürümünü ve antivirüs bilgilerini toplar ve geri gönderir.
Daha sonra bir döngüye girerek sahte trafik oluşturuyor ve C2 sunucusuna tekrar sorgu gönderiyor. Eğer yanıt yeni bileşenleri gösteriyorsa yanıttan indirme kategorisini, posta kodunu ve şifreyi çıkarıyor.
Bir indirme isteği oluşturur ve bileşenleri belirli bir dizine çıkarıp CreateProcessW kullanarak çalıştırarak bileşenleri içeren zip dosyasını alır.
Patchwork Group tarafından kullanılan bir araç olan Spyder Downloader, ayrı işlevlere sahip iki steganografik bileşen sunar. İlk bileşen olan IntelPieService.exe, ekran görüntüleri yakalar ve bunları bir sunucuya gönderirken, ikinci bileşen olan RstMwService.exe, dosya bilgilerini çalar ve bunları yerel bir veritabanında depolar.
QiAnXin Tehdit İstihbarat Merkezi’ne göre, her iki bileşen de aynı dijital imzayı paylaşıyor ve farklı C2 sunucularından indiriliyor; bu da saldırganların hedeflerine göre takip bileşenlerini seçici bir şekilde dağıtmalarına olanak tanıyor.
Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial