近日，瑞星威脅情報平臺捕獲到一起東南亞黑客組織Patchwork對我國某科技大學發(fā)起的APT攻擊事件，發(fā)現(xiàn)其意圖竊取學校內(nèi)部的核心數(shù)據(jù)。Patchwork組織在攻擊中使用了偽裝成PDF格式的.lnk快捷方式釣魚郵件，誘導用戶點擊下載多個惡意程序及誘餌文檔，試圖入侵學校內(nèi)部系統(tǒng)，達到遠程控制和竊密的目的。

Patchwork組織又名摩訶草、白象、APT-Q-36、Dropping Elephant，疑似具有南亞政府背景。該組織從2009年起活躍至今，主要針對中國、巴基斯坦、孟加拉國等亞洲國家的政府、軍事、電力、工業(yè)、科研教育、外交和經(jīng)濟等高價值機構(gòu)展開攻擊。

瑞星終端威脅檢測與響應(yīng)系統(tǒng)（EDR）目前已能夠詳細追溯Patchwork組織的攻擊活動，通過可視化的關(guān)系圖展現(xiàn)惡意代碼活動的關(guān)鍵鏈條。該產(chǎn)品能夠讓廣大用戶全面還原攻擊過程，有效防范類似攻擊的發(fā)生。

圖：瑞星EDR還原整個攻擊過程

瑞星安全專家通過分析發(fā)現(xiàn)，Patchwork組織此次攻擊與去年12月份對國內(nèi)某能源企業(yè)的攻擊手法極為類似，均通過釣魚郵件發(fā)送了偽裝成PDF格式的.lnk的快捷方式，以迷惑用戶點擊、下載名為“關(guān)于中國某科技大學統(tǒng)一電子簽章平臺上線試運行的通知”的誘餌文檔和ShellCode下載器。

圖：Patchwork組織在攻擊中使用的誘餌文檔

ShellCode下載器采用rust語言編寫，能夠自動從攻擊者的服務(wù)器下載由Donut生成的ShellCode程序，并執(zhí)行遠控工具NorthStarC2。

瑞星安全專家指出，Patchwork組織之所以選擇Rust語言技術(shù)，Donut開源工具和NorthStarC2遠控工具，是因為Rust語言具有易用性、靈活性、內(nèi)存安全性的優(yōu)勢，而Donut則能夠?qū)⑷我鈋xe、dll、.net程序集或腳本生成一個與執(zhí)行位置無關(guān)的可執(zhí)行代碼，有效隱藏其行蹤，此外NorthStarC2可以即拿即用，攻擊效率較高。這樣的組合方式可使攻擊既隱蔽又高效，帶來極大的危害。

圖：攻擊流程

瑞星安全專家提醒，鑒于國內(nèi)高校擁有大量的科研數(shù)據(jù)和科技成果，對境外APT組織具有較高的價值，因此相關(guān)組織和機構(gòu)務(wù)必要加強警惕，采取以下防范措施：

1. 不打開可疑文件。

不打開未知來源的可疑的文件和郵件，防止社會工程學和釣魚攻擊。

2. 部署EDR、NDR產(chǎn)品。

利用威脅情報追溯威脅行為軌跡，進行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點，以便更快響應(yīng)和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。

4. 及時修補系統(tǒng)補丁和重要軟件的補丁。

許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來進行傳播，及時安裝補丁將有效減少漏洞攻擊帶來的影響。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：