|
E安全7月8日讯 尽管恶意软件编写水平还比较低,但Patchwork APT已经感染了世界范围内的超过2500名受害者。 自2015年12月以来,一个新的网络间谍组织开始针对各与东南亚周边及中国南海相关军事及政治任务存在密切联系的国家政府及机构发动攻击侵扰。 这一APT(即高级持续威胁)之所以从近期其它各网络间谍活动当中脱颖而出,是因为其中完全没有使用任何原创类恶意软件——例如Pacifier APT。 相反,该组织会直接从GitHub及黑客论坛上复制粘贴现成恶意软件源代码,从而拼凑起自己的新型威胁,而这也正是其Patchwork APT名称的由来。 Patchwork在过去七个月中已经至少侵扰了2500名受害者 安全企业Cymmetria公司表示,该组织自2015年12月至今这七个月中已经至少侵扰了2500名受害者,但亦有迹象表明其早在2014年即开始组织活动。 在攻击活动当中,该组织使用了包含有PowerPoint文件作为附件的鱼叉式钓鱼邮件。大部分此类邮件配合与中国南海活动相关的主题,有时亦会选择色情内容作为噱头。 PowerPoint文件内则包含有Sandworm漏洞(CVE-2014-4114),其允许攻击者利用恶意软件感染底层操作系统。 Patchwork的恶意软件由PowerSploit、Meterpreter、AutoIt以及UACME共同构成。 Cymmetria指出,攻击者使用了来自PowerSploit、Meterpreter、AutoIt以及UACME等已知恶意软件与恶意软件套件中的现成代码。 这种混杂而成的恶意软件能够有效创建后门木马,其在理论上应该可被轻松发现——因为大多数反病毒供应商都熟知此代码及其运作模式。然而遗憾的是,直到2016年5月相关攻击活动才引起足够的重视,而Cymmetria的安全产品最先将其发现。 攻击者们利用此恶意软件对被感染主机上的数种文件类型进行扫描,而后将其从服务器内提取出来。如果目标包含有价值数据,攻击者还会部署第二阶段恶意软件——同样属于现成代码的复制粘贴成果。 第二阶段恶意软件会在被感染网络中横向移动,并搜索其它包含有价值信息的设备。 从受感染网络中提取数据攻击来源难以确定,印度嫌疑较高在这一系列攻击活动的归属方面,目前尚没有明确的答案。Cymmetria公司的专家对此做出了如下说明: “这轮攻击活动中的主要目标为印度各邻国,其它目标亦表现出较为明确的针对性(鱼叉式钓鱼内容与目标的兴趣及职业相关)。有鉴于此,我们认为其掌握的情报可能意味着攻击源自某亲印度组织。” 具体证据包括恶意软件的编辑时间(按时区换算)、目标指向印度各邻国以及C&C服务器的每日活跃时段等。 截至目前,印度尚未被视为网络间谍活动的温床。由于向来在恶意软件开发技术方面表现不佳,因此印度确实有可能选择利用现成代码拼凑起自己的APT方案。 然而,安全专家们还指出,这些证据本身也可能是反印度组织所刻意留下,旨在把锅甩到印度头上。截至目前,我们还无法确切判断其真实归属。 “Patchwork”的工作流程 |
|
|
