Patchwork olarak bilinen tehdit aktörü, Brute Ratel C4 çerçevesini ve PGoShell adlı bir arka kapının güncellenmiş sürümünü sunmak için Butan’la bağlantısı olan kuruluşları hedef alan bir siber saldırıyla ilişkilendirildi.
Knownsec 404 Ekibi geçen hafta yayınladığı analizde, bu gelişmenin saldırganın ilk kez kırmızı takım yazılımını kullanırken gözlemlendiği anlamına geldiğini söyledi.
APT-C-09, Dropping Elephant, Operation Hangover, Viceroy Tiger ve Zinc Emerson olarak da adlandırılan bu faaliyet kümesi, büyük ihtimalle Hindistan kökenli, devlet destekli bir aktör.
Çin ve Pakistan’a yönelik hedefli kimlik avı ve watering hole saldırıları düzenlemeleriyle bilinen hacker ekibinin, Çinli siber güvenlik firması QiAnXin tarafından paylaşılan verilere göre en az 2009’dan beri faaliyet gösterdiği düşünülüyor.
Geçtiğimiz temmuz ayında Knownsec 404, Çin’deki üniversiteleri ve araştırma kuruluşlarını hedef alan ve saldırganların kontrolündeki bir sunucudan komutları alıp yürütmek, ek yükler çalıştırmak ve ekran görüntüleri yakalamak için EyeShell kod adlı .NET tabanlı bir implant kullanan bir casusluk kampanyasının ayrıntılarını ifşa etti.
Daha sonra Şubat ayının başlarında, tehdit grubunun Pakistan ve Hindistan’daki kurbanları tuzağa düşürmek için romantik temalı yemler kullandığı ve VajraSpy adı verilen uzaktan erişimli bir trojanla Android cihazlarını tehlikeye attığı ortaya çıktı.
Gözlemlenen son saldırı zincirinin başlangıç noktası, UNFCCC destekli Uyum Fonu’nu taklit eden uzak bir etki alanından sahte bir PDF belgesi indirmek için tasarlanmış bir Windows kısayolu (LNK) dosyasıdır; bu sırada farklı bir etki alanından alınan Brute Ratel C4 ve PGoShell’i gizlice dağıtır (“beijingtv”).[.]org”).
Siber güvenlik şirketi, “PGoShell, Go programlama diliyle geliştirildi; genel olarak uzaktan komut çalıştırma, ekran görüntüsü alma ve yükleri indirme ve yürütme gibi zengin bir işlevsellik seti sunuyor” dedi.
Bu gelişme, SideWinder, Patchwork, Confucius ve Bitter ile taktiksel örtüşmeleri olan bir diğer tehdit aktörü olan APT-K-47’nin, ORPCBackdoor’un yanı sıra WalkerShell, DemoTrySpy ve NixBackdoor gibi daha önce belgelenmemiş kötü amaçlı yazılımların veri toplama ve kabuk kodunu yürütme amaçlı kullanıldığı saldırılara bağlanmasından aylar sonra geldi.
Knownsec 404’e göre saldırılar, “geniş yelpazede uzaktan kontrol işlevlerine olanak tanıyan” Nimbo-C2 olarak bilinen açık kaynaklı bir komuta ve kontrol (C2) çerçevesinin dağıtılması nedeniyle de dikkat çekiyor.