近日,瑞星威胁情报平台捕获到一起东南亚黑客组织Patchwork对我国某科技大学发起的APT攻击事件,发现其意图窃取学校内部的核心数据。Patchwork组织在攻击中使用了伪装成PDF格式的.lnk快捷方式钓鱼邮件,诱导用户点击下载多个恶意程序及诱饵文档,试图入侵学校内部系统,达到远程控制和窃密的目的。
Patchwork组织又名摩诃草、白象、APT-Q-36、Dropping Elephant,疑似具有南亚政府背景。该组织从2009年起活跃至今,主要针对中国、巴基斯坦、孟加拉国等亚洲国家的政府、军事、电力、工业、科研教育、外交和经济等高价值机构展开攻击。
瑞星终端威胁检测与响应系统(EDR)目前已能够详细追溯Patchwork组织的攻击活动,通过可视化的关系图展现恶意代码活动的关键链条。该产品能够让广大用户全面还原攻击过程,有效防范类似攻击的发生。
图:瑞星EDR还原整个攻击过程
瑞星安全专家通过分析发现,Patchwork组织此次攻击与去年12月份对国内某能源企业的攻击手法极为类似,均通过钓鱼邮件发送了伪装成PDF格式的.lnk的快捷方式,以迷惑用户点击、下载名为“关于中国某科技大学统一电子签章平台上线试运行的通知”的诱饵文档和ShellCode下载器。
图:Patchwork组织在攻击中使用的诱饵文档
ShellCode下载器采用rust语言编写,能够自动从攻击者的服务器下载由Donut生成的ShellCode程序,并执行远控工具NorthStarC2。
瑞星安全专家指出,Patchwork组织之所以选择Rust语言技术,Donut开源工具和NorthStarC2远控工具,是因为Rust语言具有易用性、灵活性、内存安全性的优势,而Donut则能够将任意exe、dll、.net程序集或脚本生成一个与执行位置无关的可执行代码,有效隐藏其行踪,此外NorthStarC2可以即拿即用,攻击效率较高。这样的组合方式可使攻击既隐蔽又高效,带来极大的危害。
图:攻击流程
瑞星安全专家提醒,鉴于国内高校拥有大量的科研数据和科技成果,对境外APT组织具有较高的价值,因此相关组织和机构务必要加强警惕,采取以下防范措施:
1. 不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
2. 部署EDR、NDR产品。
利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,以便更快响应和处理。
3. 安装有效的杀毒软件,拦截查杀恶意文档和恶意程序。
杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
4. 及时修补系统补丁和重要软件的补丁。
许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减少漏洞攻击带来的影响。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )