瑞星威胁情报平台近期捕获到Patchwork组织针对国内科教领域及土耳其国防领域的多起定向攻击。攻击者以伪装成PDF文档的快捷方式(.lnk)作为初始载荷,通过混淆的PowerShell命令从远程服务器下载诱饵文档与多个恶意程序,然后利用计划任务实现本地持久化。下载到本地的执行文件会解密出由开源工具Donut生成的ShellCode并最终运行NorthStarC2及BADNEWS远程控制木马。
Patchwork组织,又名摩诃草、白象、APT-Q-36、Dropping Elephant,是一个疑似具有南亚某政府背景的APT组织,其最早攻击活动可追溯到2009年,至今依然活跃。该组织主要针对中国、巴基斯坦、孟加拉国等亚洲地区国家,以政府、军事、电力、工业、科研教育、外交和经济等高价值机构为攻击目标。
2025年6月,瑞星安全研究团队接收并分析了来自国内某政府单位提交的可疑邮件附件样本。经过深度技术分析和威胁情报关联,确认该攻击活动的技术特征、战术技法(TTP)以及基础设施指纹与已知的高级持续性威胁(APT)组织"蔓灵花"(BITTER)高度匹配。
此次攻击遵循了蔓灵花组织的典型攻击模式:攻击者通过精心设计的鱼叉式网络钓鱼邮件作为初始攻击向量,投递包含恶意编译HTML帮助文件(CHM)的压缩包载荷。该CHM文件内嵌恶意HTML文档,利用点击劫持(Clickjacking)技术绕过用户交互检测,实现代码的自动化执行。当目标用户在受信任环境下打开该文件时,嵌入式JavaScript脚本会被立即触发执行。
恶意脚本的核心功能是建立持久化机制:通过调用Windows任务计划程序(Task Scheduler)创建定时任务,实现在受害主机上的长期驻留。该计划任务被配置为每16分钟向预设的命令与控制(C2)服务器发起HTTP请求,以接收远程指令并通过命令行管道机制执行,从而建立起完整的远程控制通道。
蔓灵花组织是一个具有明确地缘政治动机的高级持续性威胁行为体,据开源情报分析疑似起源于南亚地区。该组织自2013年首次被安全研究人员识别以来,持续保持高度活跃状态,其攻击目标主要集中在中国、巴基斯坦等地区的战略性目标,包括政府机构、军事部门、能源基础设施以及其他关键信息基础设施。从攻击目标选择和数据窃取偏好来看,该组织的攻击活动具有明显的国家支持背景和情报收集目的,其最终目标是通过网络间谍活动获取目标国家和机构的敏感信息、机密文档以及战略情报数据。
瑞星威胁情报平台在日常威胁监测中发现一起针对性网络攻击事件,攻击手法呈现高度精准的社会工程学特征。攻击者通过钓鱼邮件等社会工程学手段,向特定目标投递包含恶意宏代码的DOC文档。该恶意文档采用双重诱饵机制:当受害者执行宏代码后,系统首先释放名为EDGE_Group_Interview_NDA.docx的诱饵文档以降低用户警觉性,同时在后台静默执行恶意负载(包括多个恶意DLL组件),建立与远程C&C服务器的通信信道并接收后续攻击指令。整个攻击过程通过文档替换的方式实现无感知入侵,使受害者误认为仅打开了一个普通的商务文档。
基于攻击技术特征分析和威胁情报关联,本次事件与知名APT组织Lazarus(又称APT-C-26、T-APT-15)存在高度关联性。Lazarus组织是自2007年以来持续活跃的国家级威胁行为体,被广泛认为具有朝鲜国家背景。该组织以其多样化的攻击目标和复杂的攻击技术著称,攻击动机涵盖情报收集、经济利益获取和破坏性活动。其攻击范围遍及全球,重点目标包括中国、德国、澳大利亚、日本等国家的航空航天、政府机构、医疗卫生、金融服务和媒体等关键基础设施领域。
银狐木马作为数年前在国内开始流行的一类远控木马,时至今日活跃度只增不减。近期瑞星威胁情报平台在日常运营中捕获到多起攻击案例,现对相关案例分类进行详细分析