【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织

admin 2023年5月25日01:36:03评论158 views字数 2891阅读9分38秒阅读模式

概述


近期,深信服深瞻情报实验室监测到Patchwork组织的最新攻击动态。Patchwork组织, 又称摩诃草、白象、APT-Q-36、APT-C-09,是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主.相关攻击活动最早可以追溯到2009年11月,至今还非常活跃.在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。

在本次攻击活动中,我们获取到Patchwork组织投递的恶意lnk文件,该文件用于下载第二阶段BADNEWS远控。另外,在分析过程中我们观察到Patchwork组织使用多种开源组件用于其攻击活动,本文将对该组织使用的多种开源组件进行披露。

分析


在本次攻击活动中,Patchwork组织投递的载荷与之前一样为lnk文件未发生较大变化,该文件详细信息如下表。 


描述

详细信息

名称

/

文件大小

5040 bytes

文件类型

lnk

文件功能

Downloader

编译时间

/

开发平台及语言

windows/

是否加壳

VT首次上传时间

/

md5

88820807aca9b51b8ab5b6c64ea896bf

Sha256

5d47b97f8a9c417829130cf9cb06ecdb5009eabb13c3de7d9c6efa19f03c4731

该lnk文件会从 https[:]//nsfc5214.b-cdn.net/abc 下载诱饵文件 nature.pdf并存储于 “C:UsersPublicnature.pdf”并打开,接着从“https[:]//nsfc5214.b-cdn.net/c”下载文件到“%LOCALAPPDATA%\update.exe”,将文件复制到启动目录下实现持久化。


【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织


下载的c文件实际为该组织的常用组件badnews远控,其使用了hiiresloader加载器(该加载器存在特殊字符hii并将载荷存储于资源数据))进行加载。


描述

详细信息

名称

c/update.exe

文件大小

312768 bytes

文件类型

exe

文件功能

rat

编译时间

2023-05-03 10:22:06 (UTC+0)

开发平台及语言

win/c++

是否加壳

VT首次上传时间

/

md5

ce4466140ec0fe3cde996d7dc195533d

Sha256

3f4ee779128552ec28eb3452f6feb1119f91e1a28467a485eb821e4d6a667351

该加载器获取资源数据后,通过数据表交换,再将交换后的数据进行移位解密出加载的载荷。


【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织


最终在内存加载该载荷(本次加载的载荷为badnews变种)。


【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织


加载的变种badnews载荷编译时间为“2023-05-04 11:30:24 (UTC+0)”,另外在其获取当前时区的函数中,疑似将开发路径遗留在内。


【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织


通过分析,本次事件获取的版本并未再进行时区对比,并且移除了键盘记录功能,其余的功能并未发生较大变化不在赘述,其连接C2域名为“netrol[.]info”。


【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织


在对该加载器关联分析过程中,发现由巴基斯坦地区上传的某文件也被该加载器加载执行,初步分析判断该组件为Patchwork组织所拥有。


【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织


该文件详细信息如下表,通过分析该文件为开源远控“

https://github.com/XZB-1248/Spark/tree/master”。


描述

详细信息

名称

/

文件大小

8454656 bytes

文件类型

exe

文件功能

rat

编译时间

2023-04-13 07:09:47 (UTC+0)

开发平台及语言

win/golang

是否加壳

VT首次上传时间

2023-05-15 11:13:55 UTC

md5

7cb85198cc2b9788920e1166a976217d

Sha256

8d1ee2813bc3d4fc160d252f4b147bf64dead1268ca11e49577ba130b3db2615

该组件连接C2地址为“172.81.61.224:80”。

【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织


除此之外,我们还捕捉到patchwork组织使用另外一种开源加载器加载开源远控“NorthStarC2”进行攻击。


描述

详细信息

名称

/

文件大小

1640448 bytes

文件类型

exe

文件功能

rat

编译时间

/

开发平台及语言

win/golang

是否加壳

VT首次上传时间

/

md5

643e7208389ac11358507f7736ef3601

Sha256

bdf477f142a5ac56d7a3b68c60c2d5e4f15ca2a1ce708645cbf741d0fabedf2c

通过分析该加载器为开源加载器“https://github.com/EddieIvan01/gld”,该加载器使用AES-GCM-256加密payload并使用base64编码存储,加载器解密载荷后直接跳转到载荷前的加载shellcode以执行载荷,shellcode内部解密载荷。


【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织


解密后内存加载的载荷为开源远控“https://github.com/EnginDemirbilek/NorthStarC2”,其连接C2为“jillin[.]online”。


【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织

IOCS


IOC类型

详细信息

domain

nsfc5214.b-cdn.net

domain

netrol.info

domain

jillin.online

domain

macsys.shop

ip

172.81.61.224

md5

88820807aca9b51b8ab5b6c64ea896bf

md5

ce4466140ec0fe3cde996d7dc195533d

md5

7cb85198cc2b9788920e1166a976217d

md5

643e7208389ac11358507f7736ef3601

md5

28498948dff031557748c9ad562d37b1


总结


Patchwork常使用鱼叉攻击对目标进行打点攻击,具有一定的危险性。其主要针对教育、科研机构等行业进行攻击,窃取该类单位的高新技术研究资料或规划信息等,相关行业及单位需要警惕并加强网络防御。且通过对该组织的相关攻击活动分析,该组织擅长使用开源组件对目标进行攻击,相关安全厂商应加强和提升对开源威胁项目的检测能力。


深信服蓝军高级威胁(APT)团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准地对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的TTP,深信服高级威胁团队会持续监控,并对全球发现的新型安全事件进行深入分析与研究。

参考链接


 https://mp.weixin.qq.com/s/Nk2zml2d0HtK0hszyKW2Dw

【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织

原文始发于微信公众号(深信服千里目安全技术中心):【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月25日01:36:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【高级威胁追踪(APT)】对开源项目情有独钟的Patchwork组织https://cn-sec.com/archives/1757937.html

发表评论

匿名网友 填写信息