安全星图平台

摩诃草

Patchwork组织，是一个来自于南亚地区的境外APT组织。该组织最早由Norman安全公司于2013年曝光，随后又有其他安全厂商持续追踪并披露该组织的最新活动，但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击。白象APT组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主.相关攻击活动最早可以追溯到2009年11月，至今还非常活跃.在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。

历史活动组织概况 IOC情报

2023-06-07
Patchwork组织在活动中使用开源组件安恒威胁情报中心

近期，研究人员监测到Patchwork组织的最新攻击动态。在本次攻击活动中，研究人员获取到Patchwork组织投递的恶意lnk文件，该文件用于下载第二阶段BADNEWS远控。另外，在分析过程中观察到Patchwork组织使用多种开源组件用于其攻击活动。
2023-05-24
Patchwork组织使用BADNEWS和Remcos商业木马的最新攻击活动安恒威胁情报中心

白象组织针对我国相关单位发起攻击活动。在本次攻击活动中，攻击者向目标投递钓鱼邮件，邮件附件为一个包含恶意LNK文件的压缩包，LNK文件用于下载BADNEWS远控木马，最终实现对目标的信息窃取、远程控制等功能。进一步关联分析发现，LNK系列攻击与近期针对南亚地区的军事政治等目标的网络攻击相关，关联到的攻击使用技术成熟的商业远控工具如Remcos，也是通过LNK类型诱饵，或文件名以军政题材命名的EXE程序、钓鱼网站等作为攻击前导，为此攻陷、注册了相当数量的网络基础设施来支撑载荷分发和控制通联。
2023-05-04
Patchwork组织攻击国内教育科研单位安恒威胁情报中心

Patchwork APT组织针对国内高校和科研单位发起了最新攻击。Patchwork组织使用钓鱼邮件攻击高校和科研机构的事件，本次事件相关的邮件附件名称为“全国妇联2023年修订《妇女权益保障工作指导意见》”、“先进结构与复合材料等4个重点专项2023年度项目申报指南的通知”、“长江设计集团有限公司2023年度招聘公告”。邮件内容以职场中的性骚扰事件或项目申报通知为由，引诱用户打开带有密码的压缩包文件，压缩中包含一个恶意lnk文件，用于下载第二阶段BADNEWS远控。通过分析发现该组织对以往使用的BADNEWS，进行了更新，对关键功能的调用顺序和方式做出了改进，更换了控制指令和调整对应功能的实现，替换部分关键字符串。
2022-11-23
Patchwork组织针对巴基斯坦最新攻击活动安恒威胁情报中心

Patchwork是疑似具有南亚背景的APT组织。研究人员捕获到了该组织的攻击样本。本次捕获的样本以“2022年总理赈灾基金”和“跨部门研讨会 - AML/CFT报名表格”为诱饵，释放“BADNEWS”最新变种木马程序进行窃密行动。此外，本次攻击活动主要以巴基斯坦为攻击目标，载荷加入了巴基斯坦时区校验以及更可靠的加密方式，并且ShellCode加入反调试手段。
2022-11-02
PatchWork组织Herbminister行动武器库揭秘安恒威胁情报中心

Patchwork是自 2015 年 12 月以来一直活跃的南亚APT组织，长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。研究人员在对PatchWork组织跟踪过程中发现，Patchwork从去年开始对多国一系列科研目标进行渗透攻击。通过APT情报测绘，研究人员掌握了归属于该组织的部分资产，获取了其批量攻击活动的工具，并依据这些工具名称将其命名为Herbminister 行动。PatchWork组织武器库大量采用开源红队工具，并在此基础上进行二次开发工作，其武器库存在多套攻击手法，全流程武器库包括不限于：信息收集、ByPass、域内横移、隔离网传播、安装部署、同种类多种武器类型(武器数目共计：76款)。
2022-10-28
Patchwork组织近期武器库迭代更新分析安恒威胁情报中心

摩诃草，又名Hangover、Patchwork、The Dropping Elephant、白象等，该APT组织被广泛认为具有南亚地区某国家背景组织。研究人员捕获了该组织的多个近期针对周边国家和地区的定向攻击样本。分析得出，该组织正在对其武器库进行更新迭代，并且使用被窃取的签名伪装攻击样本，该组织近期的木马特点如下：引入开源加密库，对加密算法进行更新；所属攻击样本大部分都打上了被窃取的签名，降低在主机上暴露的风险；Shellcode绕过部分安全产品对重点API调用的监控；开发新的注入器，并使用mimikatz窃取受害主机密钥。
2022-10-28
白象组织近期网络攻击活动分析安恒威胁情报中心

2022年9月底，研究人员发现一批白象组织（Patchwork）的网络攻击活动。攻击者通过挂载恶意链接投放诱饵文档，文档内容主要面向于科研院所，文档包含CVE-2017-11882的漏洞利用，触发漏洞后释放白象组织专有的BADNEWS远控木马。梳理相关活动的特征如下表：事件要点特征内容事件概述Patchwork组织近期网络攻击活动攻击目标科研院所等领域目标攻击手法钓鱼攻击投递恶意文档，释放木马攻击意图窃密攻击时间2022年09月
2022-02-14
透明部落与其他南亚APT组织的VBA代码相似性分析猎影实验室

近日，研究人员分析了几个来自南亚的APT组织，包括Transparent Tribe和SideCopy等。在分析过程中，研究人员发现了一个以前未知的 RAT，并根据二进制有效负载中留下的特定 PDB 字符串，将这些样本称为SDuser样本。SDuser VBA 代码和 Donot VBA 代码之间具有很强的相似性。通过代码相似性检测方法，研究人员确认了南亚APT之间的代码重用。简况Transparent TribeTransparent Tribe(透明部落、APT36) 是一个在南亚运营超过五年的组织。该组织在恶意文件中使用的诱饵表明，其目标是印度政府和军事组织。透明部落在大多数相关活动中使用的主要有效载荷是 Crimson 和 Oblique RAT 的变体，这表明他们的活动目标是获得立足点和持久的远程访问。
2022-01-11
Patchwork APT组织针对某医疗卫生机构相关人员与巴基斯坦国防官员攻击活动分析猎影实验室

Patchwork（白象、摩诃草、APT-C-09、Dropping Elephant）是一个疑似具有印度国家背景的APT组织，长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。近期安恒威胁情报中心猎影实验室捕获到多个Patchwork组织攻击活动样本，本次样本主要通过鱼叉式钓鱼邮件进行传播，样本以“登记表”和“巴基斯坦国防官员住房登记表”等相关内容作为诱饵，最终释放“BADNEWS”后门程序进行窃密活动。
2022-01-10
Patchwork组织针对巴基斯坦医药行业发起攻击猎影实验室

Patchwork是一个印度APT组织，自2015年12月以来一直活跃，通常针对巴基斯坦目标展开鱼叉式网络钓鱼攻击。2021年11月下旬至2021年12月上旬，Patchwork组织首次针对研究分子医学和生物科学的员工发起攻击活动。在此活动中，攻击者使用恶意RTF文件释放了名为Ragnatela的木马。简况Ragnatela是BADNEWS木马的新变种，通过鱼叉式网络钓鱼电子邮件分发给巴基斯坦受害者。Ragnatela在意大利语中表示蜘蛛网，这也是Patchwork APT组织面板的名称，如下图：
查看更多