Patchwork组织以研发计划为诱饵针对中国科研人员发起网络间谍攻击

    近日，我们在日常威胁情报狩猎中捕获了Patchwork APT组织的攻击样本，该组织以“国家重点研发计划‘工程科学与综合交叉’重点专项2025项目指南建议表”为话题，针对国内科研相关人员进行钓鱼攻击。攻击活动以LNK文件作为初始攻击负载，引诱目标运行后，下载PDF文件及EXE、DLL文件到本地，并自动打开PDF文件降低目标防备心理，设置计划任务运行白文件。白文件运行后加载恶意DLL文件，在内存中多次解密加载执行Patchwork组织的特马BadNews。我们还发现该组织域名仿冒多个正常网站。攻击流程包括文件运行后使用Invoke-WebRequest命令下载文件、运行PDF文件、创建计划任务、删除中间文件等步骤。下载的可执行文件通过白+黑的方式加载恶意DLL文件，DLL文件被加载后从自身读取数据解密为Shellcode，并通过创建新线程加载。Shellcode执行后在内存中解密出一个PE文件，最后在内存中加载的Shellcode实际是Patchwork组织的常用特马BadNews。该负载运行后创建互斥体、获取UUID、操作系统版本、用户名、内外网IP及IP所在国家等信息，并将所有加密后的信息拼接，以POST方式发送至C2服务器。C2返回的指令包括读取指定文件上传、创建cmd进程执行指令上传结果、遍历文件及目录、下载后续负载保存到本地执行等。我们还捕获了Patchwork组织近期的其他攻击样本，涉及的证书信息显示恶意DLL文件的证书在今年3月的攻击活动中已被使用过。此外，我们还发现了该组织使用AsyncRAT的攻击链与其他加载器相似。

原文链接:

http://rpfiles.threatexpert.cn:8100/%E6%91%A9%E8%AF%83%E8%8D%89/reports/2024-12-04-%E4%BB%A5%E7%A0%94%E5%8F%91%E8%AE%A1%E5%88%92%E4%B8%BA%E8%AF%B1%E9%A5%B5%EF%BC%8CPatchwork%E7%BB%84%E7%BB%87%E8%BF%91%E6%9C%9F%E9%92%88%E5%AF%B9%E5%9B%BD%E5%86%85%E7%9A%84%E6%94%BB%E5%87%BB%E6%B4%BB%E5%8A%A8%E5%88%86%E6%9E%90.pdf

原文始发于微信公众号（狼蛛安全实验室）：Patchwork组织以研发计划为诱饵针对中国科研人员发起网络间谍攻击