Patchwork Hacker’ları Gelişmiş PGoShell ile Cephaneliklerini Geliştirdi


Patchwork Hacker'ları Gelişmiş PGoShell ile Cephaneliklerini Geliştirdi

Gelişmiş Tehdit İstihbarat Ekibi, Knownsec 404, yakın zamanda Patchwork grubunun gelişmiş bir Go arka kapısı ve Brute Ratel C4 kırmızı takım aracını ilk kez kullandığı, Bhutan’ı hedef alan potansiyel bir saldırıyı keşfetti.

Saldırının vektörü, zararlı yazılımların yanı sıra sahte dosyaları da indiren hayali bir PDF bağlantı dosyasıdır.

DÖRT

Bu, Patchwork’ün son birkaç yılda kaydedilen teknolojik ilerlemeyi karşılamak için cephaneliğini nasıl önemli ölçüde güncellediğini ve bu evrimin cephaneliğini gelişmiş PGoShell ile nasıl yükselttiğini gösteriyor.

Patchwork Hacker’ları Cephaneliklerini Geliştirdi

2014’ten beri bu APT grubu esas olarak Doğu ve Güney Asya’daki hükümet, savunma, diplomatik ve araştırma kuruluşlarına karşı faaliyet gösteriyor. Şimdiye kadar ondan fazla trojan ve yükleme yöntemi gözlemlendi.

AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo

Saldırı için aldatıcı LNK dosyaları da kullanıyorlar. Butan’la ilgili kuruluşları hedef alan bir sahte PDF indiriyor, Beijing TV’yi taklit eden bir etki alanından aşağıdaki iki yükü alıyor ve zamanlanmış görevler oluşturuyor:-

Saldırı zincirleri (Kaynak – Medium)

Themida paketli edputil.dll, Brute Ratel C4 için anti-hata ayıklama tekniklerinin yanı sıra özel API çağırma yöntemlerini kullanan yükleyicidir.

.themida bölümü edputil.dll segmenti içinde (Kaynak – Medium)

Son yük olan Brute Ratel C4, zaman tabanlı kontroller gerçekleştirildikten sonra chakra.dll’ye yüklenir.

Cobalt Strike’a alternatif olan bu kırmızı takım framework’ü, saldırının ne kadar karmaşık olduğunu ve tehdit aktörünün taktiklerinin nasıl değiştiğini gösteren dosya yönetimi, port tarama ve ekran görüntüsü alma gibi özelliklere sahip.

APT’nin PGoShell kod adını verdiği Go tabanlı kötü amaçlı yazılım çok büyüdü ve artık uzak kabuk, ekran görüntüsü alma ve yük yürütme gibi çeşitli özellikleri bünyesinde barındırıyor.

Verilerin karartılması için base64 kodlamasının yanı sıra RC4 şifrelemesi de kullanılmaktadır.

Bu kötü amaçlı yazılım, ip-api.com aracılığıyla IP coğrafi konumunu belirlerken, kalıcılık için HKCU\Software\Microsoft\WinTemp adresini kullanıyor.

Bhutan’la ilgili kuruluşlara yönelik yakın tarihli bir saldırıda Patchwork, Brute Ratel C4’ü kullandı. Bu, maliyeti 3000 dolar olan ve tespit edilmeyi atlatmak için saf bellek içi yükleme, hata ayıklama önleme, bağlantı kesme teknikleri vb. kullanan kırmızı takım çerçevesidir.

Brute Ratel C4 maliyeti (Kaynak – Medium)

LNK dosyası, Uyum Fonu Kurulu projesine ilişkin PDF bilgisi gibi görünecek şekilde yanıltıcı bir şekilde adlandırılmıştır.

Brute Ratel C4’ün benimsenmesi ve PGoShell’in yükseltilmesiyle Patchwork’ün siber operasyonlarla ilgili olarak giderek daha hızlı değişen bir çalışma biçimine işaret ettiği, dolayısıyla geçmiş başarılarını daha da mümkün kıldığı ve gelecekteki tehditlerin daha da muhtemel hale geldiği görülüyor.

IoC’ler

C2:-

  • Pekin TV[.]kuruluş
  • Kartvizitleyici[.]bilgi
  • longwang.b-cdn[.]açık

Günümüzün büyük bir tehdidi olan yavaş DDoS saldırılarıyla mücadele hakkında bilgi edinmek için ücretsiz web seminerimize katılın.



Source link