【安全资讯】Patchwork APT组织最新攻击活动分析
2015年12月,Patchwork APT组织遭到披露,该组织也被称为Dropping Elephant,Chinastrats,Monsoon,Sarit,Quilted Tiger,APT-C-09和ZINC EMERSON。该组织针对多个与中国外交相关的知名外交官和经济学家。
Patchwork使用一套自定义的攻击工具,攻击通常是通过鱼叉式网络钓鱼活动或水坑攻击进行的。该组织背后的归属疑似是说印度语的国家,该组织还针对在巴基斯坦,斯里兰卡,乌拉圭,孟加拉国,台湾,澳大利亚和美国的外国使馆和外交机构。在2018年初,研究人员发现,Patchwork APT组织还针对美国的智囊团开展了鱼叉式网络钓鱼活动。
最近,在2021年1月,研究人员观察到针对中国的网络钓鱼攻击,文档名称为“ Chinese_Pakistani_fighter_planes_play_war_games.docx”。我们发现该攻击使用了长期关闭的漏洞和社会工程活动之类的技术。
下图展示了带有CVE-2019-0808漏洞利用代码恶意文档,该漏洞利用代码可以在受害者机器上丢弃并执行Patchwork APT有效载荷。
格式错误的EPS脚本在受感染主机的路径中放置了名为MSBuild.exe”的有效负载文件,这是带有加密数据的VC++编译文件,可在运行时动态解密和加载Windows API函数。
恶意软件有效载荷开始使用Windows API(如GetComputerNameA,GetTempPath和GetConsoleWindow)从受害系统中收集信息,例如计算机名称,comspec,主目录,登录服务器,处理器数量,以及更多信息。Patchwork有效负载会记录带有日期和时间的击键,屏幕快照以及正在运行的进程,并将它们存储在%Temp%文件夹中名为TPX498.dat的文件中。
结论:
Patchwork APT组织通过增强的恶意软件工具集扩大了影响范围,通过鱼叉式网络钓鱼攻击将目标对准中国和其他地区。在最近的攻击中,Patchwork组织一直使用经过修改或定制的RAT负载,而不是使用常见的远程管理工具。