瑞星捕获东南亚黑客组织对中国能源行业发起的APT攻击

近日，瑞星威胁情报平台捕获到一起针对中国的APT攻击事件，根据关联分析发现，攻击者为Patchwork组织。该组织以国内某超大型水电能源企业的新闻为诱饵，对国内用户（特别是能源行业用户）进行钓鱼邮件攻击，一旦有用户激活邮件附件中的恶意代码，就会被攻击者远程控制，盗取电脑内所有的机密信息。

瑞星EDR已将此次攻击的全部过程进行可视化还原，帮助用户看清攻击者的每一步操作，并结合RGPT人工智能技术对攻击流程进行精准分析，定位、查看、了解攻击的方向以及恶意代码活动的关键链条。

图：瑞星EDR还原APT攻击过程

APT组织介绍：

Patchwork组织又名摩诃草、白象、APT-Q-36、Dropping Elephant，是一个疑似具有南亚政府背景的APT组织，其最早攻击活动可追溯到2009年，至今依然活跃。该组织主要针对中国、巴基斯坦、孟加拉国等亚洲地区国家，以政府、军事、电力、工业、科研教育、外交和 经济 等高价值机构为攻击目标。

由于在攻击中使用的诱饵文档为国内某超大型水电能源企业相关新闻，因此可以判断出此次目标为国内相关企业用户。

图：瑞星EDR已将Patchwork等攻击组织收录到威胁情报中

攻击方式：

在此次攻击中，Patchwork组织会通过钓鱼邮件等方式向目标投递名为《某集团与广东省阳江市座谈》的PDF文档，而这个文档实际是一个.lnk的快捷方式，攻击者故意将其伪装成PDF格式，就是为了诱导目标去点击。一旦有受害者点击了这个快捷方式，就会下载与文档同名的新闻稿和恶意程序，从而激活名为NorthStarC2的远控后门程序，被攻击者远程控制并盗取电脑内所有的资料和信息。

图：Patchwork组织在攻击中投递的诱饵文档

攻击技术：

瑞星安全专家介绍，Patchwork组织在此次攻击中，运用了与以往不同的攻击技术，通过Rust语言编写恶意程序，并执行开源工具Donut和远控工具NorthStarC2。这样做的好处是，Rust语言具有易用性、灵活性、内存安全性等优势；而Donut则能够将任意exe、dll、.net程序集或脚本生成一个与执行位置无关的可执行代码，很好地隐藏了自身；NorthStarC2是现成的远控程序，可拿来即用，攻击效率高。这样的组合既隐蔽性强、安全性高，又可以让攻击者向目标投递不同类型的攻击武器，实现远控或者其他恶意行为。

防范建议：

由于此次攻击中所使用的诱饵文档提及了国内某超大型水电能源企业，被攻击目标极有可能是国家重要的能源、基建行业，因此相关部门或企业要格外重视，做到以下几点：

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

2. 部署EDR、NDR产品。

利用威胁情报追溯威胁行为轨迹，进行威胁行为分析，定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，以便更快响应和处理。

3. 安装有效的杀毒软件，拦截查杀恶意文档和恶意程序。

杀毒软件可拦截恶意文档和恶意程序，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

图：瑞星ESM防病毒安全软件查杀相关病毒

4. 及时修补系统补丁和重要软件的补丁。

许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播，及时安装补丁将有效减少漏洞攻击带来的影响。