被称为“Patchwork”的黑客团伙与威胁行为者相关联,最近他们已被发现正在针对中国的大学和研究机构。
据KnownSec 404 Team透露,该活动涉及使用一个代号为EyeShell的后门。
Patchwork也被称为Operation Hangover和Zinc Emerson,疑似为印度的威胁组织。自2015年12月以来就开始活动,该组织发起的攻击链条狭窄且有针对性,倾向于针对巴基斯坦和中国,通过网络钓鱼和水坑攻击等方式使用定制植入物,如BADNEWS。
这个敌对集团被发现与其他有印度关联的网络间谍组织(包括SideWinder和DoNot Team)有战术重叠。
今年5月初,Meta披露,他们关闭了在Facebook和Instagram上由Patchwork运营的50个账户。这些账户利用在Google Play Store上传的恶意消息应用程序,收集来自巴基斯坦、印度、孟加拉国、斯里兰卡、西藏和中国的受害者的数据。
"Patchwork依赖于一系列精心设计的虚构人物,引导人们点击恶意链接和下载恶意应用程序。"社交媒体巨头表示。
"这些应用包含相对基础的恶意功能,访问用户数据完全依赖于最终用户授予的合法应用程序权限。值得注意的是,Patchwork创建了一个为聊天应用程序撰写假评测的网站,在他们列出的五个最佳通信应用程序中,将自己控制的应用程序排在最前面。"
根据Secureworks的说法,其部分活动也以ModifiedElephant的名义进行报告,这些活动指的是一系列针对印度的人权活动人士、学者和律师的攻击,用于进行长期监视,并在2018年马哈拉施特拉邦的Bhima Koregaon暴力事件中植入“罪证”。
EyeShell与BADNEWS一同被检测到,它是一个基于.NET的模块化后门,具有与远程命令和控制(C2)服务器建立联系并执行命令的能力,可以列出文件和目录,从主机上下载和上传文件,执行指定文件,删除文件,和捕捉屏幕截图。
这些发现是在网络安全公司也详细描述了一个名为Bitter的组织发起的另一波针对中国的航空航天、军事、大企业、国家政务和大学的网络钓鱼攻击,使用一个名为ORPCBackdoor的新后门。
此前,这个南亚威胁行为者被发现正在针对中国的核能行业,通过CHM和Microsoft Excel文件分发恶意软件下载器,这些文件旨在创建持久性并检索进一步的有效载荷。
原文始发于微信公众号(XDsecurity):威胁情报信息分享|Patchwork黑客利用EyeShell后门攻击中国研究机构
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论