当前位置:频道 > 正文

世界热门:Patchwork组织卷土重来,针对境内教育科研单位再次发起攻击行动

2023-04-21 00:10:16  来源:互联网

概述

近期,深信服深瞻情报实验室联合深信服安服应急响应中心监测到APT组织对国内高校和科研单位的最新攻击动态,并结合深信服创新研究院混动图AI模型分析,将该样本归因为Patchwork组织发起的攻击。Patchwork组织, 又称摩诃草、白象、APT-Q-36、APT-C-09,是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。


(资料图片仅供参考)

在本次攻击活动中,我们监测到Patchwork组织使用钓鱼邮件攻击高校和科研机构的事件,本次事件相关的邮件附件名称为“全国妇联2023年修订《妇女权益保障工作指导意见》”、“先进结构与复合材料等4个重点专项2023年度项目申报指南的通知”、“长江设计集团有限公司2023年度招聘公告”。

邮件内容以职场中的性骚扰事件或项目申报通知为由,引诱用户打开带有密码的压缩包文件,压缩中包含一个恶意lnk文件,用于下载第二阶段BADNEWS远控。通过分析我们发现该组织对以往使用的BADNEWS,进行了更新,对关键功能的调用顺序和方式做出了改进,更换了控制指令和调整对应功能的实现,替换部分关键字符串。

分析

在本次攻击活动中,解压后的文件为.pdf.lnk的双后缀文件,实际为lnk文件,双击后会执行文件中的powershell命令。由于lnk文件不会显示后缀名,可以使用cmd的“dir”指令或者右键文件属性进行查看文件,以防执行恶意的钓鱼文件,下表为该文件详细信息。

该LNK文件会从https[:]//shhh2564.b-cdn.net/abc.pdf下载诱饵文件并打开,接着从https[:]//shhh2564.b-cdn.net/c下载文件到C:\\ProgramData\\Microsoft\\DeviceSync\\p,将p文件复制为同路径下的OneDrive.exe,并删除p文件,最后创建计划任务每隔1分钟执行OneDrive.exe。

下载的OneDrive.exe实际为Patchwork的BADNEWS远控程序,提供文件下载执行、文件上传、命令执行、窃取键盘记录、获取屏幕截图等功能,其详细信息如下表。

该远控首先获取机器的时区名称,只有当时区名称为“China Standard Time”,才会执行后续的恶意操作。

接着创建互斥量“qaex“维持单一实例,随后使用SetWindowsHookExW注册键盘钩子。

将捕获到的键盘记录以文本的方式保存在%temp%目录下的kednfbdnfby.dat文件中,代替了原先使用的“kpro98.dat”文件名。

使用正常的WEB服务(myexternalip.com, api.ipify.org,ifconfig.me)获取主机IP外网地址。

将上一步获取到的外网IP地址在(api.iplocation.net,ipapi.co)等WEB服务中查询所属国家的名称

最后将获取到的信息加密后保存到一个字符串中。

通过分析得到收集的信息如下:

收集的信息都会经过base64编码后进行AES-128的CBC模式加密,最后将加密后的数据再进行base64编码。AES-128加密使用的密钥为“qgdrbn8kloiuytr3”,IV为“feitrt74673ngbfj”。该加密方式同时也应用于C2下发的数据,下文简称该方式为AES-128加密。

接着获取CreateThread函数地址,创建3个线程与C2:charliezard.shop的443端口通信,uri为/tagpdjjarzajgt/cooewlzafloumm.php,通信内容会使用AES-128加密数据,每次传输最大数据为加密前5000字节。

线程FUN_00409900负责将收集到的信息使用POST方式发送给C2,内容为收集的系统信息加密数据。发送完成后进入随机1-101秒的睡眠,睡眠结束后重复信息发送的过程,用于验证主机是否在线。

线程FUN_00409440负责收集更完整的系统信息,将SmBIOS uuid值作为机器的唯一标识符使用上述方式加密后作为uidfguu参数值发送到C2,当收到相同的uuid加密数据后,会进一步收集系统信息。

创建cmd进程执行whoami命令、ipconfig /all命令、ipconfig /displaydns命令、systeminfo命令、tasklist命令。收集当前用户名、收集完整网络配置信息、DNS缓存信息、完整系统信息、正在执行的进程信息后,使用AES-128加密数据,添加到endfh参数中并配合唯一标识符uubsin参数发送到C2。

线程FUN_00451a8负责对C2下发的指令作出响应,发送uugmkis参数附带机器唯一标识符获取C2下发的指令。

指令格式为:指令$选项1$选项2,指令和选项1都需要经过AES-128解密,选项2没有使用到,回传给C2的数据也都是经过AES-128加密过,对比以往的BADNEWS各个控制命令的实现,我们发现该组织舍弃了原先将执行结果保存到文件的环节,采用直接将数据加密后回传给C2,经分析得到所有的命令功能如下:

溯源归因

溯源归因-文件归因:

通过分析OneDrive.exe的存放路径C:\\ProgramData\\Microsoft\\DeviceSync是该组织常用文件路径之一,对下载的RAT组件进行分析,其代码逻辑、通信的模式及URL格式等符合该组织专有远控BADNEWS的特征。

与BADNEWS相似之处表现在获取时区名称的代码过程。

检测是否为目标国家时区

除此之外,通过深瞻情报实验室累积的情报数据,深信服创新研究院混动图AI模型也将该样本归因到摩诃草,也就是Patchwork组织。

IOCS

总结

Patchwork常使用鱼叉攻击对目标进行打点攻击,具有一定的危险性。主要针对教育、科研机构等行业进行攻击,窃取该类单位的高新技术研究资料或规划信息等,相关行业及单位需要警惕并加强网络防御。本次事件中,该组织改造BADNEWS攻击组件,不断加强其窃密、反分析及反取证能力,安全公司应加强相关技术的检测。

参考链接

https://www.freebuf.com/articles/paper/348148.html

关键词:

推荐阅读

大气污染的原因 大气污染的影响和危害有多大?

大气污染的原因大气污染的原因主要有人为因素(如工业废气、生活用煤、汽车尾气等)和自然因素(如森林火灾、火山爆发等),而前者是主要因素, 【详细】

什么是核废水?核废水对生态环境有哪些危害?

什么是核废水?核废水由核电站产生。听起来是不是很高端,其实发电的原理和火电厂是一样的,只是一个是烧煤,一个是烧核。水烧开后,用蒸汽 【详细】

特斯拉价格多少钱一辆?特斯拉的最低价是多少?

特斯拉价格多少钱一辆?特斯拉Model 3是特斯拉Model X车型。2019年11月,特斯拉上海工厂生产的Model 3正式亮相,就是我们前面提到的国产M 【详细】

三星堆首次出土完整金面具 三星堆黄金面具有何意义?

三星堆首次出土完整金面具据三星堆遗址考古发掘阶段性成果新闻发布会介绍,目前3号坑发掘已进入收尾阶段,预计2个月内可完成现场发掘。4号 【详细】

水土流失的原因 水土流失的防治措施

水土流失的原因相信大家对水土流失一定不陌生吧,接下来小编就带大家介绍一下水土流失的原因,水土流失的防治措施的相关知识,大家可以了解 【详细】

相关新闻

关于我们  |  联系方式  |  免责条款  |  招聘信息  |  广告服务  |  帮助中心

联系我们:85 572 98@qq.com备案号:粤ICP备18023326号-40

科技资讯网 版权所有