2023年8月:Saaiwc组织近期针对菲律宾的攻击事件

概述

  Saaiwc也被称为DarkPink,是一个主要针对于东南亚的APT组织。其主要目标是进行企业间谍活动,窃取文件。主要攻击方向包括军事机构、政府、宗教组织和非盈利组织。改组织最早被发现于2021年,曾在2022年期间发起多个攻击事件。主要攻击手段是通过鱼叉式网络钓鱼发送电子邮件构造虚假信息诱导目标打开附件。

2023年12月:Patchwork组织针对中国的攻击事件分析报告

概述

  瑞星威胁情报平台于近期捕获到一起针对中国的攻击事件,根据关联分析,将此次事件归属于Patchwork组织。攻击者使用伪装成pdf文档的快捷方式作为初始攻击武器,执行命令从远程服务器下载诱饵文档和恶意程序,并通过创建计划任务的方式实现本地持久化。其中下载的恶意程序由rust语言编写,负责在内存中执行开源工具Donut生成的shellcoderust语言具有高级控制、内存安全性和灵活性等优点,而Donut则支持将任意exedll.net程序集或部分脚本程序生成一个与执行位置无关的shellcode,这套武器组合隐蔽性强、安全性高,可以让攻击者投递不同类型的攻击武器,完成恶意目的。比如在本次事件中攻击者使用的武器就是名为NorthStarC2的远控木马,最终利用该工具实现了对目标主机的信息窃取及远程控制。

2022年5月:Patchwork组织针对巴基斯坦旁遮普政府的攻击事件

概述

  瑞星威胁情报平台于5月25日捕获了两起疑似和威胁组织Patchwork相关的攻击事件。两起攻击事件除了诱饵文档内容不同,其他相关的攻击战术,过程等基本一致,最终都是在受害者机器上释放同一种远控木马。攻击者可能利用钓鱼邮件等方式向目标分发此类带CVE-2017-11882漏洞的诱饵文档,当成功诱使目标打开诱饵文档后,攻击者会利用文档漏洞执行一段shellcode,通过shellcode在目标系统内隐秘释放远控木马达到窃密和远控目的。

2021年12月:Patchwork组织针对中国的攻击事件

概述

  瑞星威胁情报平台于2021年12月21日捕获了一起疑似威胁组织Patchwork对中国发起的攻击事件。攻击者可能利用钓鱼邮件等方式向目标分发带CVE-2017-11882漏洞的诱饵文档,该文档内容是个与中华人民共和国国家健康委员会相关的登记表,登记表内需要填写的内容包含姓名,出生日期,地址,邮箱以及电话等隐私信息。当成功诱使目标打开诱饵文档后,攻击者会利用文档漏洞执行一段shellcode,从而在目标系统内隐秘释放远控木马。