Patchwork

APT / EstatalG0040
OrigemÍndia
Técnicas (MITRE ATT&CK)41
FonteMITRE ATT&CK
Também conhecido como:Hangover GroupDropping ElephantChinastratsMONSOONOperation Hangover

Análise Vexday

Patchwork (também conhecido como Hangover Group, Dropping Elephant, Chinastrats, MONSOON e Operation Hangover) é um grupo de espionagem cibernética observado pela primeira vez em dezembro de 2015, com evidências circunstanciais que sugerem origem indiana ou alinhamento pró-Índia. O grupo tem como alvos preferenciais agências governamentais e entidades diplomáticas, e parte significativa do código utilizado em suas operações foi copiada de fóruns públicos online. Em março e abril de 2018, o Patchwork conduziu campanhas de spearphishing direcionadas a grupos de think tank nos Estados Unidos. O grupo possui 41 técnicas documentadas no MITRE ATT&CK (identificador G0040) e 7 CVEs atribuídas.

Técnicas (MITRE ATT&CK) 41

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento
Spearphishing Link
Preparação de recursos
Code Signing CertificatesTool
Acesso inicial
Drive-by CompromiseSpearphishing AttachmentSpearphishing Link
Execução
Scheduled TaskPowerShellWindows Command ShellVisual BasicExploitation for Client ExecutionMalicious LinkMalicious FileDynamic Data Exchange
Persistência
Registry Run Keys / Startup Folder
Escalada de privilégio
Bypass User Account Control
Acesso a credenciais
Credentials from Web Browsers
Descoberta
System Owner/User DiscoverySystem Information DiscoveryFile and Directory DiscoverySecurity Software DiscoveryLocal Storage Discovery
Movimento lateral
Remote Desktop Protocol
Coleta
Data from Local SystemLocal Data StagingAutomated CollectionArchive Collected Data
Comando e controle
Dead Drop ResolverIngress Tool TransferStandard Encoding
defense-impairment
Modify RegistryCode Signing
stealth
Binary PaddingSoftware PackingIndicator Removal from ToolsCommand ObfuscationMatch Legitimate Resource Name or LocationProcess HollowingFile DeletionBITS JobsDLL

Vulnerabilidades exploradas 7

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2017-11882HIGHEPSS 100%KEVCVE-2017-0199HIGHEPSS 100%KEVCVE-2015-1641HIGHEPSS 97%KEVCVE-2017-8570HIGHEPSS 90%KEVCVE-2014-4114HIGHEPSS 82%KEVCVE-2014-6352HIGHEPSS 78%KEVCVE-2012-1856HIGHEPSS 72%KEV

O grupo Patchwork usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →