【安全资讯】Patchwork组织利用先进工具扩展网络间谍活动

概要：

近日，Knownsec 404高级威胁情报团队发现Patchwork组织针对不丹的可疑活动。此次攻击使用了更新的后门程序PGoShell和新黑客工具Brute Ratel C4，显示出该组织在技术上的不断进步。Patchwork自2014年以来一直活跃，主要针对政府、国防和外交机构以及大学和研究机构。

主要内容：

此次攻击始于分发一个名为Large_Innovation_Project_for_Bhutan.pdf.lnk的诱饵文件，该文件看似PDF文档，但执行后会下载并启动多个恶意组件。具体下载的文件包括：用于分散用户注意力的诱饵文档、伪装成合法文件的恶意库edputil.dll以及用于进一步传播恶意软件的Winver.exe。

Brute Ratel C4是一种新工具，攻击者用它来管理文件系统、端口扫描、上传和下载文件以及捕获屏幕。在此次攻击中，该工具被加载到内存中，增加了检测难度。传统防御机制被复杂的反虚拟化和反调试技术绕过。

PGoShell是用Go语言开发的后门程序，经过显著增强，现在支持远程控制、屏幕捕获和文件下载。该工具收集系统信息，包括IP地址、操作系统版本、用户名和处理器架构，并将这些数据传输到攻击者的服务器。所有传输的信息都使用RC4算法加密并以base64编码。

此次攻击突显了Patchwork组织不断增强的能力，他们正在积极更新其工具和方法。Brute Ratel C4和改进后的PGoShell的使用展示了该组织的高水平复杂性和准备度。Patchwork继续发展其技术和技术，使其攻击变得越来越复杂和难以检测。这需要被攻击组织加强网络安全措施和持续监控可疑活动。