瑞星威胁情报平台近期捕获到Patchwork组织针对国内科教领域及土耳其国防领域的多起定向攻击。攻击者以伪装成PDF文档的快捷方式(.lnk)作为初始载荷,通过混淆的PowerShell命令从远程服务器下载诱饵文档与多个恶意程序,然后利用计划任务实现本地持久化。下载到本地的执行文件会解密出由开源工具Donut生成的ShellCode并最终运行NorthStarC2及BADNEWS远程控制木马。
Patchwork组织,又名摩诃草、白象、APT-Q-36、Dropping Elephant,是一个疑似具有南亚某政府背景的APT组织,其最早攻击活动可追溯到2009年,至今依然活跃。该组织主要针对中国、巴基斯坦、孟加拉国等亚洲地区国家,以政府、军事、电力、工业、科研教育、外交和经济等高价值机构为攻击目标。
Patchwork别名摩诃草、白象、Dropping Elephant等,被普遍认为是一个来自于南亚地区的境外APT组织。该组织主要针对政府机构、军事、能源、金融、科研教育等领域进行攻击,其中以科研教育和政府机构为主。目标国家包括中国、巴基斯坦等亚洲地区国家。其最早攻击活动可以追溯到2009年11月,至今仍然活跃,该组织在近期的攻击活动中也在不断尝试新的加载方法以及多种组件的不同组合。
瑞星威胁情报平台在日常的威胁狩猎过程中再次捕获到了Patchwork组织对与我国科教领域的攻击样本,并捕获到基于Rust的新载荷,攻击者使用伪装成pdf的lnk文件作为初始载荷,执行PowerShell代码下载诱饵文档和加载器并创建计划任务实现持久化。其中加载器由Rust语言编写,负责在内存中执行Donut生成的ShellCode,最终在内存中执行该组织自制的后门BADNEWS以实现远控和信息窃取。
瑞星威胁情报平台于近期捕获到一起针对国内高校的攻击事件,攻击者使用伪装成pdf文档的快捷方式作为钓鱼文档,当用户双击钓鱼文档时,会执行内置的PowerShell命令,从远程的服务器下载诱饵文档和恶意程序,接着创建计划任务实现恶意程序的持久化,恶意程序会从服务器上下载并执行开源工具Donut生成的ShellCode,ShellCode会解密出最终的NorthStarC2后门。此次攻击事件和我们在去年12月发布的Patchwork组织针对我国的新能源行业的攻击事件具有高度的相似性,因此将本次捕获到的攻击行动归属于Patchwork组织。
瑞星威胁情报平台于近期捕获到一起针对中国的攻击事件,根据关联分析,将此次事件归属于Patchwork组织。攻击者使用伪装成pdf文档的快捷方式作为初始攻击武器,执行命令从远程服务器下载诱饵文档和恶意程序,并通过创建计划任务的方式实现本地持久化。其中下载的恶意程序由rust语言编写,负责在内存中执行开源工具Donut生成的shellcode。rust语言具有高级控制、内存安全性和灵活性等优点,而Donut则支持将任意exe、dll、.net程序集或部分脚本程序生成一个与执行位置无关的shellcode,这套武器组合隐蔽性强、安全性高,可以让攻击者投递不同类型的攻击武器,完成恶意目的。比如在本次事件中攻击者使用的武器就是名为NorthStarC2的远控木马,最终利用该工具实现了对目标主机的信息窃取及远程控制。