1.组织概述

Patchwork组织最早于2009年左右被发现，在2015年的攻击行动被国外安全厂商Cymmetria披露为Patchwork。主要攻击中国、巴基斯坦、孟加拉国等国家军工、外交、教育，科研机构等，窃密重要数据。该组织主要使用鱼叉式钓鱼攻击，附件为伪装为PDF的LNK恶意文件，通过脚本命令从远程C2服务器下载后续恶意程序，使用多种自研或开源的攻击套件，如，自研BADNEWS远控木马、开源QuasarRat远控木马、开源AsyncRat远控木马、商业Remcos RAT、开源NorthStarC2等。

2.组织TTPs

2.1 Patchwork组织近期攻击活动TTPs

初始访问

使用钓鱼邮件获得初始入口点。攻击者发送“xxx”为主题的钓鱼邮件，诱使受害者点击钓鱼链接下载压缩包，内含伪装为PDF的lnk文件。

检测规避

C2下载远控木马或加载器，利用内存直接加载shellcode、加密shellcode本地加载、加密shellcode远程加载、本地dll劫持等多种方式，加载自研BADNEWS远控木马、开源QuasarRat远控木马、开源AsyncRat远控木马，实现检测规避等目的

持久化

创建计划任务和系统自启动项目实现持久化，并下载后阶段样本。

数据窃取

下载多个远控木马，对目标进行深度控制。浏览器主密钥窃取工具，解密浏览器记录的密码，窃取重要数据。

2.2 猎捕策略

以下目录是否存在可疑文件

C:PublicC:ProgramDataC:ProgramDataMicrosoftDeviceSyncC:WindowsTasks

是否存在可疑计划任务

EdgeUpdateAdobeUpdatesxxxUpdate

是否存在外连可疑进程

rundll32.exenotepad.exexxx.txt

是否存在可疑下载流量

uri：*/latexcb71ni/vtyu89ni.bin*/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php

3.样本分析

3.1 下载器(PDF.lnk)  

    此次攻击的入口点，为伪装为PDF的Lnk恶意文件，作用为下载后续恶意载荷，目前附件下载链接失效。

    Lnk文件执行powershell命令，从C2地址rootranger.info下载pdf原文、远控木马、创建计划任务。

3.2 BADNEWS远控木马(Update.exe)   

     Update.exe为RUST语言编写，样本首先启动notepad.exe进程，利用APC向目标进程注入shellcode。

向目标地址注入shellcode。

最终加载的解密后的shellcode为BADNEWS类型远控木马，样本首先创建互斥变量“RfmbFv8D”，避免因计划任务同时存在多个恶意进程。

拼接的字符串发送至攻击者C2服务器https://socialrg.info/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php。

uedf=h93RELMsSKb8CRsnEdin6AxfduawlAafSZskVbW4eTfmQwd8gVinOFPLM815jqeFekkCnD/HFvY9Jk2skPsp7w==#**#dSHXPP0JYsd3jE+uURPmWw==#**#t6xMpSWhBSCR6We7oY2FIQTSUDQWOa/XYgmV0WTBrMI=#**#z1IAvvzQCuWf6o+++2UD9Q==#**#SVtd9hRcPK+A/iHv53rqaE09Rae7YsrR64T2f2P932s=#**#dSHXPP0JYsd3jE+uURPmWw==uedf={UUID}#**#{出口IP地址}#**#{内网IP地址}#**#{用户名}#**#{操作系统版本}#**#{所属国家名称}

访问myexternalip.com/raw、api.ipify.org?format=csv、ifconfig.me/ip 获取出口IP地址

根据不同参数执行命令：

3.3 Quasar远控木马(dpdata.dll)   

样本启动后发送请求

https://zhiming.ghshijie.com/latexcb71ni/vtyu89ni.bin，下载核心payload

收到服务器发送的payload，payload使用base64编码。

Payload先进行一次base64解码。  

再进行一次base64解码，还原为最终shellcode。

为shellcode申请内存空间。

shellcode被加载

内存加载的shellcode为开源Quasar远控客户端。

Quasar客户端相关配置信息：

    使用AES-128-CBC解密函数：

加密的配置信息：

解密还原配置信息明文：

最终连接攻击者C2地址74.119.193.8:1005。

3.4 浏览器密钥窃密工具(dpdata.exe)   

dpdata.exe为rust编译的浏览器密钥窃密工具，运行后本地生成passwords.json，记录浏览器用户名和密码。

2.5 加载器(winlogs.txt)  

Winlogs.txt为Golang语言编译样本。

启动参数C:ProgramDatawinlogs.txt  -f C:ProgramDatamvs.dat -t selfthread

Winlogs.txt解密mvs.dat后开启socket连接。

向C2地址172.81.62.199:8808直接发起socket连接，轮询8808、7707、6606直到连接成功。

3.6 Async远控木马(mvs.dat)  

    被混淆加密的payload，用于winlogs.txt解密后执行。

mvs.dat解密后为Async远控客户端，在内存中执行。

Dump内存中的AsyncClient。

AsyncClient为.NET程序。

每隔sleep 5秒向C2地址发起socket连接，直到连接为止。

解密Async客户端配置信息。

    AES-256-CBC解密函数。

加密的配置信息。

解密后的配置如下：

3.7 Protego远控木马(edputil.dll)  

edputil.dll内存加载.NET编译的Protego远控木马客户端。     

创建互斥信号量kiuwqyergljkwef。

实现文件上传、命令执行等远控功能。

攻击者C2地址为

https://mdridefys.info/bIHTfcVHegEoMrv/WCcod7JY3zwUpDH.php

3.8 Quasar远控木马(python310.dll)  

样本启动后发送请求：

https://zhiming.ghshijie.com/latexcb71ni/vtyu89ni.bin

下载核心payload：

payload与dpdata.dll一致，为开源远控Quasar Client客户端。

外连C2地址74.119.193.8:1005。

4 IOC   

原文始发于微信公众号（TahirSec）：APT | Patchwork组织近期攻击活动分析