概述

  Patchwork别名摩诃草、白象、Dropping Elephant等，被普遍认为是一个来自于南亚地区的境外APT组织。该组织主要针对政府机构、军事、能源、金融、科研教育等领域进行攻击，其中以科研教育和政府机构为主。目标国家包括中国、巴基斯坦等亚洲地区国家。其最早攻击活动可以追溯到2009年11月，至今仍然活跃，该组织在近期的攻击活动中也在不断尝试新的加载方法以及多种组件的不同组合。

  瑞星威胁情报平台在日常的威胁狩猎过程中再次捕获到了Patchwork组织对与我国科教领域的攻击样本，并捕获到基于Rust的新载荷，攻击者使用伪装成pdf的lnk文件作为初始载荷，执行PowerShell代码下载诱饵文档和加载器并创建计划任务实现持久化。其中加载器由Rust语言编写，负责在内存中执行Donut生成的ShellCode，最终在内存中执行该组织自制的后门BADNEWS以实现远控和信息窃取。