Patchwork黑客利用EyeShell后门攻击中国研究机构

admin 2024年10月9日12:57:03评论46 views字数 1057阅读3分31秒阅读模式

被称为“Patchwork”的黑客团伙与威胁行为者相关联,最近他们已被发现正在针对中国的大学和研究机构。

据KnownSec 404 Team透露,该活动涉及使用一个代号为EyeShell的后门。

Patchwork也被称为Operation Hangover和Zinc Emerson,疑似为印度的威胁组织。自2015年12月以来就开始活动,该组织发起的攻击链条狭窄且有针对性,倾向于针对巴基斯坦和中国,通过网络钓鱼和水坑攻击等方式使用定制植入物,如BADNEWS。

这个敌对集团被发现与其他有印度关联的网络间谍组织(包括SideWinder和DoNot Team)有战术重叠。

今年5月初,Meta披露,他们关闭了在Facebook和Instagram上由Patchwork运营的50个账户。这些账户利用在Google Play Store上传的恶意消息应用程序,收集来自巴基斯坦、印度、孟加拉国、斯里兰卡、西藏和中国的受害者的数据。

"Patchwork依赖于一系列精心设计的虚构人物,引导人们点击恶意链接和下载恶意应用程序。"社交媒体巨头表示。

"这些应用包含相对基础的恶意功能,访问用户数据完全依赖于最终用户授予的合法应用程序权限。值得注意的是,Patchwork创建了一个为聊天应用程序撰写假评测的网站,在他们列出的五个最佳通信应用程序中,将自己控制的应用程序排在最前面。"

根据Secureworks的说法,其部分活动也以ModifiedElephant的名义进行报告,这些活动指的是一系列针对印度的人权活动人士、学者和律师的攻击,用于进行长期监视,并在2018年马哈拉施特拉邦的Bhima Koregaon暴力事件中植入“罪证”。

EyeShell与BADNEWS一同被检测到,它是一个基于.NET的模块化后门,具有与远程命令和控制(C2)服务器建立联系并执行命令的能力,可以列出文件和目录,从主机上下载和上传文件,执行指定文件,删除文件,和捕捉屏幕截图。

这些发现是在网络安全公司也详细描述了一个名为Bitter的组织发起的另一波针对中国的航空航天、军事、大企业、国家政务和大学的网络钓鱼攻击,使用一个名为ORPCBackdoor的新后门。

此前,这个南亚威胁行为者被发现正在针对中国的核能行业,通过CHM和Microsoft Excel文件分发恶意软件下载器,这些文件旨在创建持久性并检索进一步的有效载荷。

原文始发于微信公众号(XDsecurity):威胁情报信息分享|Patchwork黑客利用EyeShell后门攻击中国研究机构

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月9日12:57:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Patchwork黑客利用EyeShell后门攻击中国研究机构https://cn-sec.com/archives/1928411.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息