Security Lab

Patchwork


Введение

Patchwork, также известная как Dropping Elephant, является кибершпионской группировкой, которая стала известна своими целенаправленными атаками на дипломатические, военные и политические учреждения. Группировка получила своё название благодаря использованию патчей (фрагментов кода) из различных открытых исходных кодов и инструментов, что создавало впечатление "лоскутного одеяла". Основной целью Patchwork являются кибершпионаж и сбор информации, преимущественно из стран Юго-Восточной Азии.

История и происхождение

Patchwork была впервые выявлена в 2015 году, хотя есть основания полагать, что их деятельность началась раньше. Группировка получила название Dropping Elephant от компании Symantec, которая подробно исследовала их операции. Согласно данным из различных источников, Patchwork имеет связи с Индией, что подтверждается анализом используемых инструментов и целей атак.

Основные цели и методы

Patchwork сосредоточена на сборе разведывательной информации. Их основными целями являются:

  • Дипломатические миссии и учреждения.
  • Военные организации и институты.
  • Политические партии и активисты.
  • Медиа-организации и журналисты.

Методы атаки группировки включают:

  • Фишинговые атаки: Patchwork активно использует социальную инженерию для отправки фишинговых писем, содержащих вредоносные документы и ссылки.
  • Эксплойты нулевого дня: Группировка использует уязвимости нулевого дня, чтобы проникнуть в системы и получить доступ к конфиденциальным данным.
  • Зловредное ПО: Вредоносные программы, разработанные Patchwork, включают трояны для удаленного доступа (RAT), которые позволяют злоумышленникам контролировать инфицированные системы.

Инструменты и тактики

Patchwork отличается своим подходом к созданию и использованию инструментов. Группировка предпочитает брать части кода из различных открытых источников, что делает их инструменты уникальными и труднообнаруживаемыми. Среди их арсенала:

  • Microsoft Word и PowerPoint документы: Заражённые документы часто используются для доставки вредоносного ПО.
  • Sakula RAT: Один из наиболее известных инструментов, используемых группировкой для удаленного доступа к инфицированным системам.
  • Инструменты для сбора информации: Специализированные скрипты и программы для извлечения данных из зараженных систем.

Кампании и инциденты

Patchwork провела несколько крупных кампаний, направленных на различные страны и организации. Некоторые из известных инцидентов включают:

  • Атаки на Министерство иностранных дел и посольства: Группировка нацеливалась на дипломатические учреждения в Европе и Азии.
  • Кампании против военных организаций: Атаки на военные структуры и исследовательские институты, связанные с оборонной промышленностью.
  • Фишинговые атаки на журналистов: Многочисленные попытки фишинга, направленные на журналистов и медиа-организации.

Защита и противодействие

Чтобы защититься от атак Patchwork, рекомендуется:

  • Обучение сотрудников: Обучение персонала методам распознавания фишинговых атак и вредоносных документов.
  • Обновление программного обеспечения: Регулярное обновление всех программных продуктов для закрытия известных уязвимостей.
  • Использование антивирусного ПО: Применение современных антивирусных решений и средств для обнаружения угроз.
  • Мониторинг сети: Внимательное отслеживание сетевой активности для выявления подозрительных действий.

Заключение

Patchwork, также известная как Dropping Elephant, является серьезной угрозой для кибербезопасности, особенно для дипломатических и военных учреждений. Их методы, основанные на использовании фрагментов кода из различных источников, делают их трудными для обнаружения и предотвращения. Тем не менее, с правильными мерами защиты и внимательностью, можно существенно снизить риск стать жертвой этой группировки.

Patchwork: LNK-файлы превратились в кошмар науки

Научные проекты Китая оказались в центре атак шпионской группировки.

Вай-фай, любовь и шпионаж: как Индия шпионила за Пакистаном

Как сердечко в чате может закончиться полной потерей приватности.

Индийскийская группировка Patchwork нацелилась на образовательные и исследовательские учреждения в Китае

Новый dotNet-бэкдор EyeShell открывает хакерам по-настоящему широкие возможности в работе с данными.

Сервисы Meta используются для шпионажа за пользователями из Южной Азии

Meta пресекла деятельность нескольких масштабных кибершпионских операций в Facebook и Instagram.