Nhóm tấn công APT Patchwork nhắm vào các tổ chức tại Trung Quốc

- Theo thông tin từ các chuyên gia bảo mật, nhóm APT Patchwork đã bị phát hiện đang thực hiện một chiến dịch tấn công nhằm vào các trường đại học và tổ chức nghiên cứu tại Trung Quốc bằng cách sử dụng backdoor có tên là EyeShell.

Patchwork, hay còn gọi là Operation Hangover hoặc Zinc Emerson, bị nghi ngờ là có liên quan đến Ấn Độ. Nhóm này đã bắt đầu hoạt động từ tháng 12 năm 2015, thường tập trung tấn công vào Pakistan và Trung Quốc bằng các phương thức như Spearphishing và Watering hole, sử dụng các mã độc tự viết như BADNEWS.

Chiến thuật tấn công được sử dụng bởi Patchwork có những điểm chung với các nhóm tấn công khác tới từ Ấn Độ như SideWinder hay DoNot Team.

Vào tháng 5 năm 2023, công ty Meta đã thông báo về việc khóa 50 tài khoản trên Facebook và Instagram được sử dụng bởi nhóm Patchwork. Các tài khoản này sử dụng một số ứng dụng tin nhắn giả mạo được tải lên Google Play Store để thu thập dữ liệu từ nạn nhân tại Pakistan, Ấn Độ, Bangladesh, Sri Lanka, Tibet và Trung Quốc.

Những ứng dụng này thu thập dữ liệu người dùng thông qua các quyền ứng dụng hợp pháp mà người dùng đã cấp phép trên điện thoại cá nhân. Chuyên gia bảo mật cũng cho biết một số hoạt động của nhóm đã được báo cáo dưới tên ModifiedElephant, một chiến dịch tấn công nhằm vào các nhà hoạt động nhân quyền, luật sư và giảng viên, học viên tại Ấn Độ để tiến hành giám sát dài hạn và cài vào các “chứng cứ buộc tội kỹ thuật số” liên quan tới vụ bạo lực Bhima Koregaon vào năm 2018.

Backdoor EyeShell cùng với BADNEWS là một loại backdoor được viết bằng .NET có khả năng thiết lập kết nối với máy chủ C&C và thực thi các câu lệnh để liệt kê file và thư mục, tải xuốg hoặc tải lên các file và thực thi, xóa file trên thiết bị, cũng như chụp lại màn hình.

Mã độc EyeShellcùng với BADNEWS, là một backdoor được viết bằng .NET với khả năng thiết lập kết nối tới máy chủ C&C và thực thi các câu lệnh để liệt kê file, thư mục; tải và đăng lên các file; và thực thi, xóa file trên thiết bị cũng như là chụp lại màn hình.

Những phát hiện này được chỉ ra trong công bố chi tiết của chiến dịch tấn công phishing được thực hiện bởi nhóm tấn công Bitter, nhằm vào ngành hàng không vũ trụ, quân sự, doanh nghiệp lớn, các cơ quan chính phủ và trường đại học tại Bangladesh với mã độc ORPCBackdoor.

Trước đó, nhóm tấn công Patchwork cũng đã bị phát hiện trong việc tấn công vào ngành năng lượng hạt nhân tại Trung Quốc với các công cụ tải mã độc được phát tán qua các file CHM và Microsoft Excel, được thiết kế để duy trì kết nối và thu thập thêm các ứng dụng độc hại.