当前位置:安全资讯 >> 全文

Patchwork 间谍组织被指攻击位于美国的智库群体

发布时间:2018-6-11 12:00 标签: 国家安全
分享到 0

Volexity 公司指出,网络间谍组织 Patchwork 被指直接攻击位于美国的智库群体。

Patchwork 组织被指源自印度次大陆(包括印度、巴基斯坦、孟加拉国、尼泊尔、不丹、斯里兰卡、马尔代夫),而且应该至少活跃于2014年。该组织此前被指主要攻击和东南亚和中国南海等问题相关的政府组织机构。

两年前,Patchwork 组织扩大了攻击范围并在2017年使用了新的利用技术,而且在今年年初更新了所使用的恶意软件家族。

Patchwork 组织还被称为“倒下的大象 (Dropping Elephant)”,在近期的活动更加活跃,而且还开始在钓鱼邮件中使用独特的追踪链接以找到哪些收件人打开了邮件信息。

Volexity 公司观测到了该组织发动的三起鱼叉式钓鱼活动,“利用模仿位于美国的多种知名智库组织机构的域名和主题”。恶意人员使用来自对外关系理事会 (CFR)、美国战略和国际研究中心 (CSIS) 和麦卡托中国研究院 (MERICS) 的文章和主题以及恶意 RTF 文档作为诱饵。

研究人员指出,攻击共享对邮件接收人的追踪、联网 RTF 文档以及最终payload,但每个活动中的元素都各不相同。在某次攻击中,恶意人员还在来自 CFR 的信息中使用了和对外政策研究所 (FPRI) 类似的域名。这些鱼叉式钓鱼邮件中包含扩展为 .doc 的文件链接,但实际上它们是试图利用 CVE-2017-8750 RTF 文档并经由内嵌在文档中的恶意脚本小程序执行代码。

利用公开可用代码部署 RAT

Patchwork 显然使用了来自 GitHub 的公开利用代码来部署免费的 QuasarRAT。这款远程访问工具用 C# 编写而成,它提供对网络通信的 AES 加密,文件管理,下载、上传和执行文件的能力,键盘记录,远程桌面访问,远程网络摄像头查看,逆向代理和浏览器以及 FTP 客户端密码恢复等能力。

这款恶意软件黑通过指向 QuasarRAT 二进制(在磁盘上以 Microsoft_network.exe 存储)的计划任务来实现可持续性。这种计划任务被称为 Microsoft_Security_Task,每天上午12点运行,然后在两个月中每隔五分钟进行重复。

执行时,这款恶意软件首先试图判断受感染主机的地理位置,然后开始通过加密连接向命令和控制域名通信。

研究人员指出,Patchwork 针对位于美国的智库组织机构的攻击说明了地理区域目标呈现多样化态势。虽然某些鱼叉式钓鱼信息中仅有一些特别的组件,但活动和主题从战略上和目标组织机构之间有关。Patchwork 组织似乎还使用了其它 APT 组织所采用的技术,通过记录哪些收件人打开钓鱼信息来追踪攻击活动的有效性。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/patchwork-cyberspies-target-us-think-tanks
参与讨论,请先 登录 | 注册

用户评论