Patchwork黑客組織瞄準我國科技大學，竊取核心數據！

　　近日，瑞星威脅情報平臺捕獲到一起東南亞黑客組織Patchwork對我國某科技大學發起的APT攻擊事件，發現其意圖竊取學校內部的核心數據。Patchwork組織在攻擊中使用了偽裝成PDF格式的.lnk快捷方式釣魚郵件，誘導用戶點擊下載多個惡意程序及誘餌文檔，試圖入侵學校內部系統，達到遠程控制和竊密的目的。

　　Patchwork組織又名摩訶草、白象、APT-Q-36、Dropping?Elephant，疑似具有南亞政府背景。該組織從2009年起活躍至今，主要針對中國、巴基斯坦、孟加拉國等亞洲國家的政府、軍事、電力、工業、科研教育、外交和經濟等高價值機構展開攻擊。

　　瑞星終端威脅檢測與響應系統(EDR)目前已能夠詳細追溯Patchwork組織的攻擊活動，通過可視化的關系圖展現惡意代碼活動的關鍵鏈條。該產品能夠讓廣大用戶全面還原攻擊過程，有效防范類似攻擊的發生。

圖：瑞星EDR還原整個攻擊過程

　　瑞星安全專家通過分析發現，Patchwork組織此次攻擊與去年12月份對國內某能源企業的攻擊手法極為類似，均通過釣魚郵件發送了偽裝成PDF格式的.lnk的快捷方式，以迷惑用戶點擊、下載名為“關于中國某科技大學統一電子簽章平臺上線試運行的通知”的誘餌文檔和ShellCode下載器。

圖：Patchwork組織在攻擊中使用的誘餌文檔

　　ShellCode下載器采用rust語言編寫，能夠自動從攻擊者的服務器下載由Donut生成的ShellCode程序，并執行遠控工具NorthStarC2。

　　瑞星安全專家指出，Patchwork組織之所以選擇Rust語言技術，Donut開源工具和NorthStarC2遠控工具，是因為Rust語言具有易用性、靈活性、內存安全性的優勢，而Donut則能夠將任意exe、dll、.net程序集或腳本生成一個與執行位置無關的可執行代碼，有效隱藏其行蹤，此外NorthStarC2可以即拿即用，攻擊效率較高。這樣的組合方式可使攻擊既隱蔽又高效，帶來極大的危害。

圖：攻擊流程

　　瑞星安全專家提醒，鑒于國內高校擁有大量的科研數據和科技成果，對境外APT組織具有較高的價值，因此相關組織和機構務必要加強警惕，采取以下防范措施：

　　1.?不打開可疑文件。

　　不打開未知來源的可疑的文件和郵件，防止社會工程學和釣魚攻擊。

　　2.?部署EDR、NDR產品。

　　利用威脅情報追溯威脅行為軌跡，進行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網絡威脅，*大范圍內發現被攻擊的節點，以便更快響應和處理。

　　3.?安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

　　殺毒軟件可攔截惡意文檔和惡意程序，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。

　　4.?及時修補系統補丁和重要軟件的補丁。

　　許多惡意軟件經常使用已知的系統漏洞、軟件漏洞來進行傳播，及時安裝補丁將有效減少漏洞攻擊帶來的影響。