瑞星威胁情报平台于5月25日捕获了两起疑似和威胁组织Patchwork相关的攻击事件。两起攻击事件除了诱饵文档内容不同,其他相关的攻击战术,过程等基本一致,最终都是在受害者机器上释放同一种远控木马。攻击者可能利用钓鱼邮件等方式向目标分发此类带CVE-2017-11882漏洞的诱饵文档,当成功诱使目标打开诱饵文档后,攻击者会利用文档漏洞执行一段shellcode,通过shellcode在目标系统内隐秘释放远控木马达到窃密和远控目的。
瑞星威胁情报平台于2021年12月21日捕获了一起疑似威胁组织Patchwork对中国发起的攻击事件。攻击者可能利用钓鱼邮件等方式向目标分发带CVE-2017-11882漏洞的诱饵文档,该文档内容是个与中华人民共和国国家健康委员会相关的登记表,登记表内需要填写的内容包含姓名,出生日期,地址,邮箱以及电话等隐私信息。当成功诱使目标打开诱饵文档后,攻击者会利用文档漏洞执行一段shellcode,从而在目标系统内隐秘释放远控木马。
2023年11月,海莲花组织针对国内目标群体,以购买BMW汽车为主题,诱导目标打开一个含有恶意脚本代码的快捷方式,本次行动攻击方式与今年初APT29所使用的攻击手法较为相似,因而疑似是刻意模仿,该快捷方式伪装名称BMW_2023年机构及院士销售价格框架.pdf.lnk,一旦启动,将在本机释放恶意的可执行文件,注册自启动,并在最终执行一个CobaltStrike Beacon来建立持久的连接。
瑞星威胁情报中心捕获到一个名为Google Installer恶意程序样本,经分析确定该样本出自OceanLotus组织,该组织常用的攻击方法是白加黑,但此次换了另外一种攻击手法是伪装成为正常的安装软件,通过网络钓鱼的方式,诱导用户下载安装程序来执行恶意的操作。