Dropping Elephant kampány
A Rapid7 elemzése szerint a Dropping Elephant (Patchwork/APT-C-09) nevű, India érdekszférájához kötött csoport új fertőzési láncot alkalmazott kínai nyelvű célpontok ellen. A kampány elsődleges célja továbbra is a hírszerzési információgyűjtés, különösen kormányzati, kutatási és geopolitikai témákban érintett szervezetekkel szemben.
A támadás kiindulópontja egy kínai témájú csali dokumentum vagy archívum, amely egy többlépcsős betöltőláncot indít el. A fertőzési folyamat során legitim Windows komponensek és DLL side-loading technikák segítségével töltődik be a végső payload, a Spark RAT-hoz kapcsolódó, módosított távoli hozzáférési eszköz. A lánc egyik új eleme a Rapid7 által PPEE néven azonosított loader, amely a memóriában dekódolja és indítja a következő komponenseket, csökkentve a hagyományos vírusvédelmi megoldások észlelési esélyeit.
A kutatás szerint a csoport továbbra is a living-off-the-land megközelítést részesíti előnyben, legitim fájlokat, aláírt binárisokat és ismert szoftverkomponenseket használ a rosszindulatú kód futtatására. Ez jól illeszkedik a Patchwork korábbi műveleteihez, amelyekben rendszeresen alkalmaztak DLL side-loadingot, egyedi loadereket és nyílt forráskódú RAT-okat a perzisztencia és a rejtőzködés érdekében.