概述

  瑞星威胁情报平台近期捕获到Patchwork组织针对国内科教领域及土耳其国防领域的多起定向攻击。攻击者以伪装成PDF文档的快捷方式（.lnk）作为初始载荷，通过混淆的PowerShell命令从远程服务器下载诱饵文档与多个恶意程序，然后利用计划任务实现本地持久化。下载到本地的执行文件会解密出由开源工具Donut生成的ShellCode并最终运行NorthStarC2及BADNEWS远程控制木马。

  Patchwork组织，又名摩诃草、白象、APT-Q-36、Dropping Elephant，是一个疑似具有南亚某政府背景的APT组织，其最早攻击活动可追溯到2009年，至今依然活跃。该组织主要针对中国、巴基斯坦、孟加拉国等亚洲地区国家，以政府、军事、电力、工业、科研教育、外交和经济等高价值机构为攻击目标。