【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织

概述

近期，深信服深瞻情报实验室监测到Patchwork组织的最新攻击动态。Patchwork组织， 又称摩诃草、白象、APT-Q-36、APT-C-09，是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主.相关攻击活动最早可以追溯到2009年11月，至今还非常活跃.在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。

在本次攻击活动中，我们获取到Patchwork组织投递的恶意lnk文件，该文件用于下载第二阶段BADNEWS远控。另外，在分析过程中我们观察到Patchwork组织使用多种开源组件用于其攻击活动，本文将对该组织使用的多种开源组件进行披露。

分析

在本次攻击活动中，Patchwork组织投递的载荷与之前一样为lnk文件未发生较大变化，该文件详细信息如下表。 

该lnk文件会从 https[:]//nsfc5214.b-cdn.net/abc 下载诱饵文件 nature.pdf并存储于 “C:\Users\Public\nature.pdf”并打开，接着从“https[:]//nsfc5214.b-cdn.net/c”下载文件到“%LOCALAPPDATA%\\update.exe”，将文件复制到启动目录下实现持久化。

下载的c文件实际为该组织的常用组件badnews远控，其使用了hiiresloader加载器（该加载器存在特殊字符hii并将载荷存储于资源数据））进行加载。

该加载器获取资源数据后，通过数据表交换，再将交换后的数据进行移位解密出加载的载荷。

最终在内存加载该载荷（本次加载的载荷为badnews变种）。

加载的变种badnews载荷编译时间为“2023-05-04 11:30:24 (UTC+0)”，另外在其获取当前时区的函数中，疑似将开发路径遗留在内。

通过分析，本次事件获取的版本并未再进行时区对比，并且移除了键盘记录功能，其余的功能并未发生较大变化不在赘述，其连接C2域名为“netrol[.]info”。

在对该加载器关联分析过程中，发现由巴基斯坦地区上传的某文件也被该加载器加载执行，初步分析判断该组件为Patchwork组织所拥有。

该文件详细信息如下表，通过分析该文件为开源远控“

https://github.com/XZB-1248/Spark/tree/master”。

除此之外，我们还捕捉到patchwork组织使用另外一种开源加载器加载开源远控“NorthStarC2”进行攻击。

通过分析该加载器为开源加载器“https://github.com/EddieIvan01/gld”，该加载器使用AES-GCM-256加密payload并使用base64编码存储，加载器解密载荷后直接跳转到载荷前的加载shellcode以执行载荷，shellcode内部解密载荷。

解密后内存加载的载荷为开源远控“https://github.com/EnginDemirbilek/NorthStarC2”，其连接C2为“jillin[.]online”。

IOCS

总结

Patchwork常使用鱼叉攻击对目标进行打点攻击，具有一定的危险性。其主要针对教育、科研机构等行业进行攻击，窃取该类单位的高新技术研究资料或规划信息等，相关行业及单位需要警惕并加强网络防御。且通过对该组织的相关攻击活动分析，该组织擅长使用开源组件对目标进行攻击，相关安全厂商应加强和提升对开源威胁项目的检测能力。

深信服蓝军高级威胁（APT）团队专注全球高级威胁事件的跟踪与分析，拥有一套完善的自动化分析溯源系统以及外部威胁监控系统，能够快速精准地对APT组织使用的攻击样本进行自动化分析和关联，同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像，成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件，未来随着安全对抗的不断升级，威胁组织会研究和使用更多新型的TTP，深信服高级威胁团队会持续监控，并对全球发现的新型安全事件进行深入分析与研究。

参考链接

 https://mp.weixin.qq.com/s/Nk2zml2d0HtK0hszyKW2Dw