近日，瑞星威脅情報(bào)平臺(tái)捕獲到一起東南亞黑客組織Patchwork對(duì)我國(guó)某科技大學(xué)發(fā)起的APT攻擊事件，發(fā)現(xiàn)其意圖竊取學(xué)校內(nèi)部的核心數(shù)據(jù)。Patchwork組織在攻擊中使用了偽裝成PDF格式的.lnk快捷方式釣魚(yú)郵件，誘導(dǎo)用戶點(diǎn)擊下載多個(gè)惡意程序及誘餌文檔，試圖入侵學(xué)校內(nèi)部系統(tǒng)，達(dá)到遠(yuǎn)程控制和竊密的目的。

Patchwork組織又名摩訶草、白象、APT-Q-36、Dropping Elephant，疑似具有南亞政府背景。該組織從2009年起活躍至今，主要針對(duì)中國(guó)、巴基斯坦、孟加拉國(guó)等亞洲國(guó)家的政府、軍事、電力、工業(yè)、科研教育、外交和經(jīng)濟(jì)等高價(jià)值機(jī)構(gòu)展開(kāi)攻擊。

瑞星終端威脅檢測(cè)與響應(yīng)系統(tǒng)（EDR）目前已能夠詳細(xì)追溯Patchwork組織的攻擊活動(dòng)，通過(guò)可視化的關(guān)系圖展現(xiàn)惡意代碼活動(dòng)的關(guān)鍵鏈條。該產(chǎn)品能夠讓廣大用戶全面還原攻擊過(guò)程，有效防范類(lèi)似攻擊的發(fā)生。

圖：瑞星EDR還原整個(gè)攻擊過(guò)程

瑞星安全專(zhuān)家通過(guò)分析發(fā)現(xiàn)，Patchwork組織此次攻擊與去年12月份對(duì)國(guó)內(nèi)某能源企業(yè)的攻擊手法極為類(lèi)似，均通過(guò)釣魚(yú)郵件發(fā)送了偽裝成PDF格式的.lnk的快捷方式，以迷惑用戶點(diǎn)擊、下載名為“關(guān)于中國(guó)某科技大學(xué)統(tǒng)一電子簽章平臺(tái)上線試運(yùn)行的通知”的誘餌文檔和ShellCode下載器。

圖：Patchwork組織在攻擊中使用的誘餌文檔

ShellCode下載器采用rust語(yǔ)言編寫(xiě)，能夠自動(dòng)從攻擊者的服務(wù)器下載由Donut生成的ShellCode程序，并執(zhí)行遠(yuǎn)控工具NorthStarC2。

瑞星安全專(zhuān)家指出，Patchwork組織之所以選擇Rust語(yǔ)言技術(shù)，Donut開(kāi)源工具和NorthStarC2遠(yuǎn)控工具，是因?yàn)镽ust語(yǔ)言具有易用性、靈活性、內(nèi)存安全性的優(yōu)勢(shì)，而Donut則能夠?qū)⑷我鈋xe、dll、.net程序集或腳本生成一個(gè)與執(zhí)行位置無(wú)關(guān)的可執(zhí)行代碼，有效隱藏其行蹤，此外NorthStarC2可以即拿即用，攻擊效率較高。這樣的組合方式可使攻擊既隱蔽又高效，帶來(lái)極大的危害。

圖：攻擊流程

瑞星安全專(zhuān)家提醒，鑒于國(guó)內(nèi)高校擁有大量的科研數(shù)據(jù)和科技成果，對(duì)境外APT組織具有較高的價(jià)值，因此相關(guān)組織和機(jī)構(gòu)務(wù)必要加強(qiáng)警惕，采取以下防范措施：

1. 不打開(kāi)可疑文件。

不打開(kāi)未知來(lái)源的可疑的文件和郵件，防止社會(huì)工程學(xué)和釣魚(yú)攻擊。

2. 部署EDR、NDR產(chǎn)品。

利用威脅情報(bào)追溯威脅行為軌跡，進(jìn)行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn)，以便更快響應(yīng)和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶的終端安全。

4. 及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁。

許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來(lái)進(jìn)行傳播，及時(shí)安裝補(bǔ)丁將有效減少漏洞攻擊帶來(lái)的影響。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。

關(guān)鍵詞：