【安全资讯】Patchwork APT组织针对某医疗卫生机构相关人员与巴基斯坦国防官员攻击活动分析

猎影实验室 2022-01-11 07:49:07 940人浏览

引言

Patchwork(白象、摩诃草、APT-C-09、Dropping Elephant)是一个疑似具有印度国家背景的APT组织,长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。近期安恒威胁情报中心猎影实验室捕获到多个Patchwork组织攻击活动样本,本次样本主要通过鱼叉式钓鱼邮件进行传播,样本以“登记表”和“巴基斯坦国防官员住房登记表”等相关内容作为诱饵,最终释放“BADNEWS”后门程序进行窃密活动。

 

 

简况

样本1

初始样本是一个名为:“zhuce_erlingersan.rtf”的RTF文档,该文档包含CVE-2017-11882漏洞,执行后会在本地目录释放“BADNEWS”后门程序执行。

 

文件名称

zhuce_erlingersan.rtf

样本类型

Rich Text Format

文件大小

918.55 KB (940594 bytes)

MD5

f1f51717eb81e4df0632e20c8e455299

文档内容与某医疗卫生机构登记表相关,打开后会在ProgramData目录下释放名为“OneDrive.exe”的后门程序,该程序是Patchwork组织常用的“BADNEWS”后门。

 

 

样本2

另外一个类似的样本是名为:“EOIForm.rtf”的RTF文档,执行后会在本地目录释放多个文件以执行恶意操作。文档内容与巴基斯坦国防官员住房登记相关,由此推测相关人员是本次攻击活动的主要目标。

文件名称

EOIForm.rtf

样本类型

Rich Text Format

文件大小

2.45 MB (2571442 bytes)

MD5

c82823618b6d13d6540caecb4aef97bb

 

文档打开后会在“ProgramData”目录下释放多个隐藏属性的文件用于执行恶意操作。

名称

MD5

描述

jli.dll

8c095479d9beba9ed56bb8d95861686d

后门文件

msvcr71.dll

86f1895ae8c5e8b17d99ece768a70732

系统库文件

OneDrive.exe

ba79f3d12d455284011f114e3452a163

带有数字签名的“java-rmi.exe”白文件

OneDrive.exe是一个带有数字签名的java白文件,执行后会侧加载同目录下的jli.dll后门文件。 jli.dll是BADNEWS”后门程序变种。

 

恶意代码执行后会首先创建名为“run”的互斥体对象,然后创建“%AppData%\MicrosoftUpdate”工作目录,用于保存后续恶意操作产生的屏幕截图等文件。然后新建线程进行键盘记录,并将获取到的用户输入数据保存到“%Temp%\TPX498.dat”文件中。随后通过wmi接口获取系统uuid、os等信息后,加密发送给C2服务器。C2服务器接收到上线数据包后,会通过下发指令执行其它恶意操作。

 

失陷指标(IOC)7
APT Patchwork 巴基斯坦 医疗卫生 国防
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。