Το Patchwork APT, γνωστό και ως Dropping Elephant, είναι μια ομάδα κυβερνο-κατασκοπείας που ορισμένοι πωλητές ασφάλειας θεωρούν ότι μπορεί να έχει την βάση της στην Ινδία. Η ομάδα φαίνεται να έχει αλλάξει τον τρόπο λειτουργίας της και έχει αρχίσει να στοχεύει ιδιωτικές εταιρείες από διάφορες χώρες σε όλο τον κόσμο.
Το έργο του Patchwork APT ήρθε στο φως στις αρχές του μήνα, όταν η εταιρία ασφάλειας Cymmetria δημοσίευσε μια αναφορά σχετικά με τις δραστηριότητές της.
Η εταιρεία έδωσε στην ομάδα το παρατσούκλι “the copy-paste APT”, λόγω της συνήθειας τους να βάζουν μαζί τα malware χρησιμοποιώντας χαμηλής ποιότητας κώδικα που είναι διαθέσιμη για το κοινό.
Στην αναφορά που δημοσιεύθηκε από την Kaspersky λίγες μέρες αργότερα, αποκαλύφθηκε ότι η ομάδα είχε στόχο κυρίως τις κυβερνητικές οργανώσεις στις χώρες που βρίσκονται γύρω από τη Νοτιοανατολική Ασία.
Οι ερευνητές της Symantec ισχυρίζονται ότι έχουν βρει νέα στοιχεία που αποδεικνύουν ότι η συγκεκριμένη ομάδα έχει επεκταθεί με στόχο τις ιδιόκτητες επιχειρήσεις.
Από τα στοιχεία αυτά φαίνεται ότι η ομάδα δεν είχε ενημερώσει τις TTP του και συνέχισε να χρησιμοποιεί τα spear-phishing emails.
Στη συντριπτική πλειονότητα των περιπτώσεων, αυτά τα μηνύματα περιλαμβάνουν κακόβουλα αρχεία PowerPoint που προσπαθούν να χρησιμοποιήσουν το CVE-2014-4114 για να κάνουν την εγκατάσταση του κακόβουλου λογισμικού στον υπολογιστή του στόχου τους.
Στη νέα καμπάνια, χρησιμοποιήθηκαν και έγγραφα του Word που εκμεταλλεύονται το CVE-2015-1641 και το CVE-2012-0158, καθώς και σε ορισμένες περιπτώσεις, τα spear-phishing emails δεν ερχόντουσαν με κάποιο συνημμένο, αλλά περιείχαν συνδέσμους για μια ιστοσελίδα από όπου ο χρήστης θα κατέβαζε ο ίδιος το κακόβουλο αρχείο.
Η Symantec αναφέρει ότι τα αρχεία αυτά προσπάθησαν να εγκαταστήσουν το Enfourks και το Steladok trojans, τα οποία θα μπορούσαν να συλλέξουν ευαίσθητες πληροφορίες από τους “μολυσμένους” υπολογιστές και να τις ανεβάσουν στους διαδικτυακούς servers.
