Patchwork黑客组织瞄准我国科技大学,窃取核心数据!

admin 2024年7月28日00:22:27评论41 views字数 1278阅读4分15秒阅读模式

Patchwork黑客组织瞄准我国科技大学,窃取核心数据!

关键词

入侵

近日,瑞星威胁情平台捕获到一起东南亚黑客组织Patchwork对我国某科技大学发起的APT攻击事件,发现其意图窃取学校内部的核心数据。Patchwork组织在攻击中使用了伪装成PDF格式的.lnk快捷方式钓鱼邮件,诱导用户点击下载多个恶意程序及诱饵文档,试图入侵学校内部系统,达到远程控制和窃密的目的。

Patchwork组织又名摩诃草、白象、APT-Q-36、Dropping Elephant,疑似具有南亚政府背景。该组织从2009年起活跃至今,主要针对中国、巴基斯坦、孟加拉国等亚洲国家的政府、军事、电力、工业、科研教育、外交和经济等高价值机构展开攻击。

瑞星终端威胁检测与响应系统(EDR)目前已能够详细追溯Patchwork组织的攻击活动,通过可视化的关系图展现恶意代码活动的关键链条。该产品能够让广大用户全面还原攻击过程,有效防范类似攻击的发生。

Patchwork黑客组织瞄准我国科技大学,窃取核心数据!

  图:瑞星EDR还原整个攻击过程

瑞星安全专家通过分析发现,Patchwork组织此次攻击与去年12月份对国内某能源企业的攻击手法极为类似,均通过钓鱼邮件发送了伪装成PDF格式的.lnk的快捷方式,以迷惑用户点击、下载名为“关于中国某科技大学统一电子签章平台上线试运行的通知”的诱饵文档和ShellCode下载器。

Patchwork黑客组织瞄准我国科技大学,窃取核心数据!

  图:Patchwork组织在攻击中使用的诱饵文档

ShellCode下载器采用rust语言编写,能够自动从攻击者的服务器下载由Donut生成的ShellCode程序,并执行远控工具NorthStarC2。

瑞星安全专家指出,Patchwork组织之所以选择Rust语言技术,Donut开源工具和NorthStarC2远控工具,是因为Rust语言具有易用性、灵活性、内存安全性的优势,而Donut则能够将任意exe、dll、.net程序集或脚本生成一个与执行位置无关的可执行代码,有效隐藏其行踪,此外NorthStarC2可以即拿即用,攻击效率较高。这样的组合方式可使攻击既隐蔽又高效,带来极大的危害。

Patchwork黑客组织瞄准我国科技大学,窃取核心数据!

  图:攻击流程

瑞星安全专家提醒,鉴于国内高校拥有大量的科研数据和科技成果,对境外APT组织具有较高的价值,因此相关组织和机构务必要加强警惕,采取以下防范措施:

  1. 不打开可疑文件。

  不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。

  2. 部署EDR、NDR产品。

  利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,*大范围内发现被攻击的节点,以便更快响应和处理。

  3. 安装有效的杀毒软件,拦截查杀恶意文档和恶意程序。

  杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

  4. 及时修补系统补丁和重要软件的补丁。

  许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减少漏洞攻击带来的影响。

END

原文始发于微信公众号(安全圈):【安全圈】Patchwork黑客组织瞄准我国科技大学,窃取核心数据!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月28日00:22:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Patchwork黑客组织瞄准我国科技大学,窃取核心数据!https://cn-sec.com/archives/3006138.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息