Patchwork是疑似具有南亚背景的APT组织。研究人员捕获到了该组织的攻击样本。本次捕获的样本以“2022年总理赈灾基金”和“跨部门研讨会 - AML/CFT报名表格”为诱饵，释放“BADNEWS”最新变种木马程序进行窃密行动。此外，本次攻击活动主要以巴基斯坦为攻击目标，载荷加入了巴基斯坦时区校验以及更可靠的加密方式，并且ShellCode加入反调试手段。

Patchwork是自 2015 年 12 月以来一直活跃的南亚APT组织，长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。研究人员在对PatchWork组织跟踪过程中发现，Patchwork从去年开始对多国一系列科研目标进行渗透攻击。通过APT情报测绘，研究人员掌握了归属于该组织的部分资产，获取了其批量攻击活动的工具，并依据这些工具名称将其命名为Herbminister 行动。PatchWork组织武器库大量采用开源红队工具，并在此基础上进行二次开发工作，其武器库存在多套攻击手法，全流程武器库包括不限于：信息收集、ByPass、域内横移、隔离网传播、安装部署、同种类多种武器类型(武器数目共计：76款)。

摩诃草，又名Hangover、Patchwork、The Dropping Elephant、白象等，该APT组织被广泛认为具有南亚地区某国家背景组织。研究人员捕获了该组织的多个近期针对周边国家和地区的定向攻击样本。分析得出，该组织正在对其武器库进行更新迭代，并且使用被窃取的签名伪装攻击样本，该组织近期的木马特点如下：引入开源加密库，对加密算法进行更新；所属攻击样本大部分都打上了被窃取的签名，降低在主机上暴露的风险；Shellcode绕过部分安全产品对重点API调用的监控；开发新的注入器，并使用mimikatz窃取受害主机密钥。

2022年9月底，研究人员发现一批白象组织（Patchwork）的网络攻击活动。攻击者通过挂载恶意链接投放诱饵文档，文档内容主要面向于科研院所，文档包含CVE-2017-11882的漏洞利用，触发漏洞后释放白象组织专有的BADNEWS远控木马。梳理相关活动的特征如下表：事件要点特征内容事件概述Patchwork组织近期网络攻击活动攻击目标科研院所等领域目标攻击手法钓鱼攻击投递恶意文档，释放木马攻击意图窃密攻击时间2022年09月

近日，研究人员分析了几个来自南亚的APT组织，包括Transparent Tribe和SideCopy等。在分析过程中，研究人员发现了一个以前未知的 RAT，并根据二进制有效负载中留下的特定 PDB 字符串，将这些样本称为SDuser样本。SDuser VBA 代码和 Donot VBA 代码之间具有很强的相似性。通过代码相似性检测方法，研究人员确认了南亚APT之间的代码重用。 简况Transparent TribeTransparent Tribe(透明部落、APT36) 是一个在南亚运营超过五年的组织。该组织在恶意文件中使用的诱饵表明，其目标是印度政府和军事组织。透明部落在大多数相关活动中使用的主要有效载荷是 Crimson 和 Oblique RAT 的变体，这表明他们的活动目标是获得立足点和持久的远程访问。

Patchwork（白象、摩诃草、APT-C-09、Dropping Elephant）是一个疑似具有印度国家背景的APT组织，长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。近期安恒威胁情报中心猎影实验室捕获到多个Patchwork组织攻击活动样本，本次样本主要通过鱼叉式钓鱼邮件进行传播，样本以“登记表”和“巴基斯坦国防官员住房登记表”等相关内容作为诱饵，最终释放“BADNEWS”后门程序进行窃密活动。

Patchwork是一个印度APT组织，自2015年12月以来一直活跃，通常针对巴基斯坦目标展开鱼叉式网络钓鱼攻击。2021年11月下旬至2021年12月上旬，Patchwork组织首次针对研究分子医学和生物科学的员工发起攻击活动。在此活动中，攻击者使用恶意RTF文件释放了名为Ragnatela的木马。 简况Ragnatela是BADNEWS木马的新变种，通过鱼叉式网络钓鱼电子邮件分发给巴基斯坦受害者。Ragnatela在意大利语中表示蜘蛛网，这也是Patchwork APT组织面板的名称，如下图：

近日，研究人员捕获到APT-C-09组织使用美女图片作为诱饵的恶意样本，这些样本通过婚介主题来诱骗用户执行恶意程序或文档文件，运行后释放并打开对应图片文件，自身主体则与服务器连接，接收指令数据，达到攻击者远程控制用户设备的效果。APT-C-09（摩诃草）组织，又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该组织已持续活跃了7年。APT-C-09组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。

2015年12月，Patchwork APT组织遭到披露，该组织也被称为Dropping Elephant，Chinastrats，Monsoon，Sarit，Quilted Tiger，APT-C-09和ZINC EMERSON。该组织针对多个与中国外交相关的知名外交官和经济学家。Patchwork使用一套自定义的攻击工具，攻击通常是通过鱼叉式网络钓鱼活动或水坑攻击进行的。该组织背后的归属疑似是说印度语的国家，该组织还针对在巴基斯坦，斯里兰卡，乌拉圭，孟加拉国，台湾，澳大利亚和美国的外国使馆和外交机构。在2018年初，研究人员发现，Patchwork APT组织还针对美国的智囊团开展了鱼叉式网络钓鱼活动。

“白象”又名“Patchwork”，“摩诃草”，来自南亚某国，自2012年以来持续针对中国、巴基斯坦等国进行网络攻击。近期威胁情报中心监测到多个白象APT的攻击活动样本，攻击活动中依然使用了CVE-2017-0261 EPS漏洞，并且在近期使用的样本中使用了CVE-2019-0808提权模块。其中一个样本为“中印边境争端.docx”，意图十分明显，样本生成时间在6月初期，攻击活动时间应该也在这个时间左右，此时正是中印边境白热化阶段。样本使用了EPS UAF漏洞（CVE-2017-0261）和Win32k.sys本地权限提升漏洞（CVE-2016-7255）的组合套路，依然使用VMwareCplLauncher.exe进行侧加载，最终载荷也是白象常使用的木马。回连C2为kmnh.crabdance[.]com。