1
事件概述
近年来,高级持续性威胁(APT)组织针对特定地区和行业的攻击活动日益频繁,其中Patchwork组织(又称Dropping Elephant、APT-C-09)因其长期针对中国、巴基斯坦、孟加拉国等南亚地区的外交、教育、科技领域进行网络攻击而备受关注。该组织以高度定制化的攻击工具和复杂的攻击链著称,常利用社会工程学手段(如钓鱼邮件、伪装文档)诱骗目标运行恶意负载,进而窃取敏感信息或部署后门程序。
Patchwork组织的攻击活动通常具有明确的地缘政治和经济目的,其攻击目标多为政府机构、科研单位及高等教育机构。近年来,该组织不断更新其攻击手法,结合多种技术手段(如白加黑、加密Shellcode、远程脚本加载)以规避安全检测。此外,其攻击基础设施中大量仿冒国内单位的域名也表明,Patchwork组织在攻击准备阶段投入了大量资源,以增强攻击的隐蔽性和成功率。
在此背景下,我们对Patchwork组织近期发起的恶意攻击活动进行了深入分析,揭示了两条主要攻击链及其技术细节。攻击链一(LNK->PDF+Loader->BadNews)主要针对国内目标,通过诱骗用户运行LNK文件,分阶段下载PDF文件、白文件、恶意DLL及加密Shellcode,最终解密并执行Patchwork组织的专属特马BadNews。攻击链二(LNK->PS->白+黑+加密负载->Shellcode Loader->Havoc框架)则利用LNK文件加载远程Powershell脚本,通过复杂的白加黑技术及加密负载,最终解密并加载Havoc框架以实现攻击目的。
通过对攻击链二样本的关联分析,我们发现该组织的攻击活动不仅限于国内,还涉及南亚地区,例如针对孟加拉国的钓鱼邮件攻击。此外,攻击者还使用包含OLE对象的DOCX文件加载LNK文件,进一步扩展了攻击面。资产分析显示,Patchwork组织注册了大量仿冒国内单位的域名,主要涉及外交、教育、科技等领域,表明其攻击目标具有高度针对性。
本报告详细剖析了攻击链的技术实现、样本关联及资产信息,为防御此类攻击提供了重要参考。Patchwork组织的攻击手法复杂且隐蔽,需引起相关单位的高度警惕,并采取针对性的防护措施。
2
样本分析
根据攻击活动中加载的文件类型及最终攻击负载的不同,我们将近期捕获的样本分为两类攻击链。第一类攻击主要针对国内用户,最终加载的特马为BadNews(该特马在我们此前报告中已有详细分析,本文不再赘述)。第二类攻击主要针对南亚地区,但通过对相关资产的测绘分析,我们发现该组织仍在积极筹备针对我国的攻击活动,显示出其持续的地缘政治意图。
攻击链1:LNK->PDF+Loader->BadNews
在该攻击链模式下,我们捕获到的样本如下:
样本一:以“国家重点研发计划重点专项项目实施工作方案”为诱饵,引诱目标运行LNK文件,执行后下载PDF文件、白文件、恶意DLL文件以及加密的Shellcode数据,此样本中我们未捕获到后续文件。
文件名 |
国家重点研发计划重点专项项目实施工作方案.pdf.lnk |
Hash |
4010952725284d1c5d198f28cc35764d7621590c163bf489791f023592784a53 |
URL |
hxxps://ados.fyicompsol.xyz/lkasedb_4edsw/hsvdcxsew-3dsw hxxps://kens.fyicompsol.xyz/aloetdg_74dfs/asgdneu9_lfd2 hxxps://rkde.fyicompsol.xyz/jsgdevdw_3ed/hdbdewsq1_sc3 hxxps://kila.fyicompsol.xyz/kfdgbcws_rf4/dcsxwer32khd_esf |
样本二:该文件以“2025年‘硕博连读’选拔评审成绩(军队计划)”为诱饵,引诱目标运行LNK文件,执行流程与上相同,后续加载Patchwork特马BadNews。
文件名 |
Military_Plan_Shuo_Reading.pdf.lnk |
Hash |
9f27d7b82a70ba3d8ff1ad9f26acf8245a45cf80fbe0c3cf9f026814167e8dc6 |
文件下载 |
hxxps://liuyi.neectar.info/hsdverd_3ed5d/mdswsourt_4rfs hxxps://tian.neectar.info/lksderdd_4dferd/jhdfer3s_jh3de |
特马回连 |
hxxps://hongbaow.info/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php |
相关诱饵文件如下
样本三:以“中国气象局人工影响天气中心文件”为话题,引诱目标运行LNK文件,执行流程与上相同,后续同样加载Patchwork特马BadNews。
文件名 |
Innovation_Team.pdf.lnk |
Hash |
acbcb6448447ad4a5c0dae7e3e44be5383c3bd6bb246f4889feae4731259bd32 |
文件下载 |
hxxps://kupes.fourays.info/tgsfdjerpERAF4562_yhfd/kshdjfl hxxps://jdkupes.fourays.info/yjsgdjflas845ui/hjksfdgwrepsd |
特马回连 |
hxxps://foxinfo.org/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php |
相关诱饵文件如下
攻击链2:LNK->PS->白+黑+加密负载->解密出Shellcode Loader->加载Havoc框架
我们捕获Patchwork使用Havoc框架的初始阶段样本信息如下:
文件名 |
DH-Report76.pdf.lnk |
Hash |
207b27f4f17802dc951b6300eaeeaed181ee7567526325f940e66242f54d3add |
ITW |
hxxps://army-mil.zapto.org/webdav/DH-Report76.pdf.lnk |
该LNK文件托管在URL:
hxxps://army-mil.zapto.org/webdav/DH-Report76.pdf.lnk,该域名来自动态域名服务提供商zapto.org,文件运行后将执行远程文件f.ps1
f.ps1脚本包含指令执行后将下载远程文件sppc.dll、onelog.dll到本地,复制本机phoneactivate.exe文件到%Temp%目录并更名为word.exe,最后在开机自启目录创建快捷方式实现持久化,启动"word.exe"。该文件启动后将加载sppc.dll恶意DLL文件
下载文件信息如下:
文件名 |
Hash |
sppc.dll |
fe3659fe8ceedc9acbd84eca852f06feeb235e9fe83fa6da2383d17f6e0108c5 |
onelog.dll |
2a09b5f1429eb2b6049e374200cb39d7075dd962098adb6b61b0bafbcee9b487 |
sppc.dll文件用于DLL劫持,由白文件phoneactivate.exe加载,加载后将读取onelog.dll文件
sppc.dll调用SystemFunction033进行解密,用于解密有效载荷的密钥是nbmavjzjlsbpixbddwqqmkqrdejdihrq
解密后的onelog.dll包含Shellcode加载器以及下一阶段DLL
Shellcode加载器通过实现DJB2算法来解析API函数
最终有效负载为Havoc框架,其配置信息如下
3
关联
依据提取的样本特征,我们在狩猎平台上发现的其他关联文件如
样本一:钓鱼邮件+RAR附件+LNK/PDF
文件名 |
Hash |
Fraudulent Transaction of 5000 BDT.msg |
b65c9453ee78321defb63ed2ccdffd0e2df3177f12e66185c1ef2e8ba298d800 |
Transactions_of_5000_BDT.rar |
909db58a782dfbe605b0e6047b9bd056377deb75d64d0cb9cefbcf11d3195318 |
Transaction_of_7350_BDT.pdf.lnk |
136dd864f5772a6567aff34fcbe6f0665b7cc04b2d486004c370f410bee259b1 |
样本一为上传自孟加拉国的钓鱼邮件,邮件收件人为孟加拉国财政部金融机构部联合秘书Kamrul Hoque Maruf先生,邮件描述了发件人疑似遭遇的诈骗交易,并请求银行调查及退款,附件为交易详情。
附件包含PDF文件与LNK文件,LNK文件名为Transaction_of_7350_BDT.pdf.lnk,在引诱目标运行后,将执行远程Powershell脚本,并打开本地同名的PDF文件
PDF文件内容为邮件中提到的交易记录。
其远程执行的脚本疑似使用LLM生成,主要功能为下载远程文件到本地
下载文件信息如下:
文件名 |
Hash |
sspicli.dll |
7498a07f903486473cce83fbf16b88009765af98326e1ebef4c48f103b874f65 |
windowskernel32.dll |
90f43a20a956b5d2e7b73cd3c2a6896a3af032414a297a23d0f07ef2f1016b17 |
与上述样本相同的是,此文件加载流程仍为白+黑加载Shellcode执行。不同的是,该样本未下载用于DLL劫持的可执行文件,其直接将恶意DLL文件及加密数据下载到了OneDrive目录,以便在OneDrive.exe启动时直接加载恶意负载。
此样本在通信中使用的域名(uat-updates.gateway.ceair.com.81-cn.info)中包含的cn、ceair(中国东方航空)等缩写,表明攻击者可能将中国作为主要目标之一。该域名解析到IP:47.236.170.136,该IP绑定的域名自2024年3月开始活跃,主要针对中国、巴基斯坦的政府、外交、教育等领域,涉及仿冒国内单位的域名如下:
域名 |
仿冒目标 |
sysu.edu.cn.81-cn.info |
中山大学 |
cas.sysu.edu.cn.81-cn.info |
|
mail.mfa.gov.cn.81-cn.info |
中华人民共和国外交部 |
mfa.gov.cn.81-cn.info |
|
updates.moe.gov.cn.81-cn.info |
中华人民共和国教育部 |
cloud.moe.gov.cn.81-cn.info |
|
moe.gov.cn.81-cn.info |
|
cfibdupdates.moe.gov.cn.81-cn.info |
|
crec-bangladesh.ddns.net |
中国中铁 |
boc.cn.81-cn.info |
中国银行 |
boc-cn.81-cn.info |
|
ustc.edu.cn.coremail.login.81-cn.info |
中国科学技术大学 |
mail.spacechina.com.81-cn.info |
中国航天科技集团 |
mail.mail.spacechina.com.81-cn.info |
|
spacechina.com.81-cn.info |
|
ciecc.com.cn.81-cn.info |
中国国际工程咨询有限公司 |
corporate-social-activity-updates.ciecc.com.cn.81-cn.info |
|
internal-portal.ceair.com.81-cn.info |
中国东方航空 |
ceair.com.81-cn.info |
|
gateway.ceair.com.81-cn.info |
|
uat-updates.gateway.ceair.com.81-cn.info |
|
cfau.edu.cn.81-cn.info |
外交学院 |
mail.cfau.edu.cn.81-cn.info |
|
tsinghua.edu.cn.81-cn.info |
清华大学 |
mail.tsinghua.edu.cn.81-cn.info |
|
nju.edu.cn.81-cn.info |
南京大学 |
mail.nju.edu.cn.81-cn.info |
|
mail.hust.edu.cn.81-cn.info |
华中科技大学 |
hust.edu.cn.81-cn.info |
|
smmu.edu.cn.81-cn.info |
海军军医大学 |
mail.smmu.edu.cn.81-cn.info |
|
nudt.edu.cn.81-cn.info |
国防科技大学 |
mail.nudt.edu.cn.81-cn.info |
|
mail-nudt.sytes.net |
|
pku.edu.cn.81-cn.info |
北京大学 |
updates.pku.edu.cn.81-cn.info |
|
events.updates.pku.edu.cn.81-cn.info |
|
mail-cscec.ddns.net |
中国建筑集团 |
针对性不强及仿冒邮箱登录的域名如下
域名 |
81-cn.info |
com.81-cn.info |
cn.81-cn.info |
com.cn.81-cn.info |
edu.cn.81-cn.info |
gov.cn.81-cn.info |
login.81-cn.info |
coremail.login.81-cn.info |
cn.coremail.login.81-cn.info |
edu.cn.coremail.login.81-cn.info |
fileserver.81-cn.info |
81-cn.ddns.net |
cmclient-downloader.serveirc.com |
针对巴基斯坦的域名如下
域名 |
pac.gov.pk.81-cn.info |
incidence.pac.gov.pk.81-cn.info |
securityreport.incidence.pac.gov.pk.81-cn.info |
gov.pk.81-cn.info |
hit.gov.pk.81-cn.info |
mail.hit.gov.pk.81-cn.info |
gov.pk.login.81-cn.info |
mofa.gov.pk.login.81-cn.info |
mail.mofa.gov.pk.login.81-cn.info |
pk.81-cn.info |
pk.login.81-cn.info |
样本二:DOCX+OLE对象+LNK
文件名 |
Hash |
Scam_Transaction_of_7350_BDT.docx |
44f7c5e8855fc2c9a0026183759f99635d7b89eee46dc904d5618123ed217435 |
Scam_Transaction_of_7350_BDT.pdf.lnk |
623767715bd1a33c41e2de8ab3af341e629105132c3434f454cf249f98adbfd7 |
样本二同样上传自孟加拉国,其初始攻击负载是DOCX,文件内容与钓鱼邮件内容相似,均描述了孟加拉塔卡欺诈交易,并请求相关部门追回。
DOCX文档中嵌入了Shell.Explorer.1 OLE对象, 此样本中的OLE对象充当嵌入式Internet Explorer,用户双击后将运行远程文件:hxxp://47.76.135.130/microsoft-365-ms/ZONE2/Scam_Transaction_of_7350_BDT.pdf.lnk
该IP可关联到文件
文件名 |
Strengthening of Government Video Conferencing Platform Project (1st Revised) (1).pdf.searchConnector-ms |
Hash |
1ca3de5b90d293c3ac0f36da128b513037dda0223096e1026315e97c2793766e |
URL |
hxxp://47.76.135.130/dashboard_login/zoomflank |
该LNK文件同样执行远程Powershell脚本,后下载DLL文件与加密数据,并通过白+黑的方式加载运行
样本三:针对巴基斯坦的LNK文件
文件名 |
CyberNet2025.lnk |
Hash |
eebf4a5104d75f8f6536e592d4c7945d56f8431059f2cab980756d9b9e96f0fc |
URL |
hxxp://wandering-pond-e7f4.foxiproxi.workers.dev/download/BTRC.ps1 |
我们未捕获到关于此样本的后续文件。
5
活动总结
Patchwork组织的攻击活动展现了一定的技术复杂性和针对性。长期以来,该组织不仅针对国内目标,还将攻击范围扩展至南亚地区,利用钓鱼邮件、恶意文档及仿冒域名等多种手段实施攻击。其攻击手法结合了社会工程学、加密技术和多阶段加载策略,成功规避了部分安全检测,显示出较强的隐蔽性和适应性。
相关单位需提高警惕,加强对钓鱼邮件、恶意文档及异常网络流量的监测,同时定期更新威胁情报,以有效防御此类高级持续性威胁。
防范建议
目前安恒信息研究院安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成。针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
1. AiLPHA分析平台V5.0.0及以上版本
2. APT设备V2.0.67及以上版本
3. EDR产品V2.0.17及以上版本
安恒云沙盒已集成了该事件中的样本特征。用户可通过云沙盒:https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。
IOC
4010952725284d1c5d198f28cc35764d7621590c163bf489791f023592784a53
hxxps://ados.fyicompsol.xyz/lkasedb_4edsw/hsvdcxsew-3dsw
hxxps://kens.fyicompsol.xyz/aloetdg_74dfs/asgdneu9_lfd2
hxxps://rkde.fyicompsol.xyz/jsgdevdw_3ed/hdbdewsq1_sc3
hxxps://kila.fyicompsol.xyz/kfdgbcws_rf4/dcsxwer32khd_esf
9f27d7b82a70ba3d8ff1ad9f26acf8245a45cf80fbe0c3cf9f026814167e8dc6
hxxps://liuyi.neectar.info/hsdverd_3ed5d/mdswsourt_4rfs
hxxps://tian.neectar.info/lksderdd_4dferd/jhdfer3s_jh3de
c12deb8079c75ef4b96f4af778fbb811a5c766f0560d57d63d6772fbe76b6b33
hxxps://hongbaow.info/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php
acbcb6448447ad4a5c0dae7e3e44be5383c3bd6bb246f4889feae4731259bd32
hxxps://kupes.fourays.info/tgsfdjerpERAF4562_yhfd/kshdjfl
hxxps://jdkupes.fourays.info/yjsgdjflas845ui/hjksfdgwrepsd
c526878565f4ef7a95252e910c1ce494fb8ea7a0f80576ea2ad28ad1d5015894
hxxps://foxinfo.org/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php
207b27f4f17802dc951b6300eaeeaed181ee7567526325f940e66242f54d3add
hxxps://army-mil.zapto.org/webdav/DH-Report76.pdf.lnk
hxxp://army-mil.b-cdn.net/onelog.dll
hxxp://army-mil.b-cdn.net/sppc.dll
hxxp://army-mil.b-cdn.net/f.ps1
hxxps://47.250.118.131/
fe3659fe8ceedc9acbd84eca852f06feeb235e9fe83fa6da2383d17f6e0108c5
2a09b5f1429eb2b6049e374200cb39d7075dd962098adb6b61b0bafbcee9b487
b65c9453ee78321defb63ed2ccdffd0e2df3177f12e66185c1ef2e8ba298d800
909db58a782dfbe605b0e6047b9bd056377deb75d64d0cb9cefbcf11d3195318
136dd864f5772a6567aff34fcbe6f0665b7cc04b2d486004c370f410bee259b1
hxxp://uat-updates.gateway.ceair.com.81-cn.info/sspicli.dll
hxxp://uat-updates.gateway.ceair.com.81-cn.info/windowskernel32.dll
7498a07f903486473cce83fbf16b88009765af98326e1ebef4c48f103b874f65
90f43a20a956b5d2e7b73cd3c2a6896a3af032414a297a23d0f07ef2f1016b17
47.236.170.136
44f7c5e8855fc2c9a0026183759f99635d7b89eee46dc904d5618123ed217435
623767715bd1a33c41e2de8ab3af341e629105132c3434f454cf249f98adbfd7
hxxp://47.76.135.130/microsoft-365-ms/ZONE2/Scam_Transaction_of_7350_BDT.pdf.lnk
1ca3de5b90d293c3ac0f36da128b513037dda0223096e1026315e97c2793766e
hxxp://47.76.135.130/dashboard_login/zoomflank
eebf4a5104d75f8f6536e592d4c7945d56f8431059f2cab980756d9b9e96f0fc
hxxp://wandering-pond-e7f4.foxiproxi.workers.dev/download/BTRC.ps1
原文始发于微信公众号(网络安全研究宅基地):仿冒域名与新型攻击链:Patchwork组织针对中国的网络攻势研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论