Patchwork黑客组织瞄准我国科技大学，窃取核心数据！

　　近日，瑞星威胁情报平台捕获到一起东南亚黑客组织Patchwork对我国某科技大学发起的APT攻击事件，发现其意图窃取学校内部的核心数据。Patchwork组织在攻击中使用了伪装成PDF格式的.lnk快捷方式钓鱼邮件，诱导用户点击下载多个恶意程序及诱饵文档，试图入侵学校内部系统，达到远程控制和窃密的目的。

　　Patchwork组织又名摩诃草、白象、APT-Q-36、Dropping Elephant，疑似具有南亚政府背景。该组织从2009年起活跃至今，主要针对中国、巴基斯坦、孟加拉国等亚洲国家的政府、军事、电力、工业、科研教育、外交和经济等高价值机构展开攻击。

　　瑞星终端威胁检测与响应系统(EDR)目前已能够详细追溯Patchwork组织的攻击活动，通过可视化的关系图展现恶意代码活动的关键链条。该产品能够让广大用户全面还原攻击过程，有效防范类似攻击的发生。

图：瑞星EDR还原整个攻击过程

　　瑞星安全专家通过分析发现，Patchwork组织此次攻击与去年12月份对国内某能源企业的攻击手法极为类似，均通过钓鱼邮件发送了伪装成PDF格式的.lnk的快捷方式，以迷惑用户点击、下载名为“关于中国某科技大学统一电子签章平台上线试运行的通知”的诱饵文档和ShellCode下载器。

图：Patchwork组织在攻击中使用的诱饵文档

　　ShellCode下载器采用rust语言编写，能够自动从攻击者的服务器下载由Donut生成的ShellCode程序，并执行远控工具NorthStarC2。

　　瑞星安全专家指出，Patchwork组织之所以选择Rust语言技术，Donut开源工具和NorthStarC2远控工具，是因为Rust语言具有易用性、灵活性、内存安全性的优势，而Donut则能够将任意exe、dll、.net程序集或脚本生成一个与执行位置无关的可执行代码，有效隐藏其行踪，此外NorthStarC2可以即拿即用，攻击效率较高。这样的组合方式可使攻击既隐蔽又高效，带来极大的危害。

图：攻击流程

　　瑞星安全专家提醒，鉴于国内高校拥有大量的科研数据和科技成果，对境外APT组织具有较高的价值，因此相关组织和机构务必要加强警惕，采取以下防范措施：

　　1. 不打开可疑文件。

　　不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

　　2. 部署EDR、NDR产品。

　　利用威胁情报追溯威胁行为轨迹，进行威胁行为分析，定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，*大范围内发现被攻击的节点，以便更快响应和处理。

　　3. 安装有效的杀毒软件，拦截查杀恶意文档和恶意程序。

　　杀毒软件可拦截恶意文档和恶意程序，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

　　4. 及时修补系统补丁和重要软件的补丁。

　　许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播，及时安装补丁将有效减少漏洞攻击带来的影响。