Patchwork别名摩诃草、白象、Dropping Elephant等,被普遍认为是一个来自于南亚地区的境外APT组织。该组织主要针对政府机构、军事、能源、金融、科研教育等领域进行攻击,其中以科研教育和政府机构为主。目标国家包括中国、巴基斯坦等亚洲地区国家。其最早攻击活动可以追溯到2009年11月,至今仍然活跃,该组织在近期的攻击活动中也在不断尝试新的加载方法以及多种组件的不同组合。
瑞星威胁情报平台在日常的威胁狩猎过程中再次捕获到了Patchwork组织对与我国科教领域的攻击样本,并捕获到基于Rust的新载荷,攻击者使用伪装成pdf的lnk文件作为初始载荷,执行PowerShell代码下载诱饵文档和加载器并创建计划任务实现持久化。其中加载器由Rust语言编写,负责在内存中执行Donut生成的ShellCode,最终在内存中执行该组织自制的后门BADNEWS以实现远控和信息窃取。
瑞星威胁情报平台于近期捕获到一起针对国内高校的攻击事件,攻击者使用伪装成pdf文档的快捷方式作为钓鱼文档,当用户双击钓鱼文档时,会执行内置的PowerShell命令,从远程的服务器下载诱饵文档和恶意程序,接着创建计划任务实现恶意程序的持久化,恶意程序会从服务器上下载并执行开源工具Donut生成的ShellCode,ShellCode会解密出最终的NorthStarC2后门。此次攻击事件和我们在去年12月发布的Patchwork组织针对我国的新能源行业的攻击事件具有高度的相似性,因此将本次捕获到的攻击行动归属于Patchwork组织。
瑞星威胁情报平台捕获到近期针对国内的攻击事件。攻击者通过邮件发送给目标机构钓鱼文档。当用户双击文档执行宏代码后,会在释放出一个窃密的木马,该木马会获取指定的目录下后缀名为pdf、doc、docx、xlsx、xls、ppt、pptx、zip的文件,把获取到的文件加密之后发送到服务器。通过对比其域名特点和窃密手法,发现和SideWinder组织具有高度相似性,因此将本次捕获到的攻击行动归属于SideWinder组织。
瑞星威胁情报于2024年2月捕获一起疑似针对白俄罗斯的攻击事件,攻击者向受害者投递带恶意附件的钓鱼邮件进行攻击,恶意附件是个DOCX文档,DOCX文档内被注入了恶意链接,恶意链接指向带有公式编辑器漏洞CVE-2017-11882的RTF文档,漏洞文档会访问特定网址下载VBS脚本并运行。VBS脚本经过混淆处理,解混淆后会获得一段PowerShell代码,PowerShell代码会从指定网址上获取被base64编码后的.NET程序,解码出.NET程序后,它会将从指定网址上下载的Remcos远控软件注入白文件RegAsm.exe中运行起来。Remcos远控工具有远程桌面、键盘记录、文件管理、命令执行等多种功能,它是一家名为Breaking Security的德国公司以远程控制和监视为名出售的合法工具,但经常被黑客滥用。