近日,瑞星威胁情报平台捕获到一起东南亚黑客组织Patchwork对我国某科技大学发起的APT攻击事件,发现其意图窃取学校内部的核心数据。Patchwork组织在攻击中使用了伪装成PDF格式的.lnk快捷方式钓鱼邮件,诱导用户点击下载多个恶意程序及诱饵文档,试图入侵学校内部系统,达到远程控制和窃密的目的。
Patchwork组织又名摩诃草、白象、APT-Q-36、Dropping Elephant,疑似具有南亚政府背景。该组织从2009年起活跃至今,主要针对中国、巴基斯坦、孟加拉国等亚洲国家的政府、军事、电力、工业、科研教育、外交和经济等高价值机构展开攻击。
瑞星终端威胁检测与响应系统(EDR)目前已能够详细追溯Patchwork组织的攻击活动,通过可视化的关系图展现恶意代码活动的关键链条。该产品能够让广大用户全面还原攻击过程,有效防范类似攻击的发生。
图:瑞星EDR还原整个攻击过程
瑞星安全专家通过分析发现,Patchwork组织此次攻击与去年12月份对国内某能源企业的攻击手法极为类似,均通过钓鱼邮件发送了伪装成PDF格式的.lnk的快捷方式,以迷惑用户点击、下载名为“关于中国某科技大学统一电子签章平台上线试运行的通知”的诱饵文档和ShellCode下载器。
图:Patchwork组织在攻击中使用的诱饵文档
ShellCode下载器采用rust语言编写,能够自动从攻击者的服务器下载由Donut生成的ShellCode程序,并执行远控工具NorthStarC2。
瑞星安全专家指出,Patchwork组织之所以选择Rust语言技术,Donut开源工具和NorthStarC2远控工具,是因为Rust语言具有易用性、灵活性、内存安全性的优势,而Donut则能够将任意exe、dll、.net程序集或脚本生成一个与执行位置无关的可执行代码,有效隐藏其行踪,此外NorthStarC2可以即拿即用,攻击效率较高。这样的组合方式可使攻击既隐蔽又高效,带来极大的危害。
图:攻击流程
瑞星安全专家提醒,鉴于国内高校拥有大量的科研数据和科技成果,对境外APT组织具有较高的价值,因此相关组织和机构务必要加强警惕,采取以下防范措施:
1. 不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
2. 部署EDR、NDR产品。
利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,以便更快响应和处理。
3. 安装有效的杀毒软件,拦截查杀恶意文档和恶意程序。
杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
4. 及时修补系统补丁和重要软件的补丁。
许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减少漏洞攻击带来的影响。