安全星图平台

摩诃草

Patchwork组织，是一个来自于南亚地区的境外APT组织。该组织最早由Norman安全公司于2013年曝光，随后又有其他安全厂商持续追踪并披露该组织的最新活动，但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击。白象APT组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主.相关攻击活动最早可以追溯到2009年11月，至今还非常活跃.在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。

历史活动组织概况 IOC情报

2023-09-15
Patchwork组织BADNEWS新型样本分析安恒威胁情报中心

Patchwork使用的BADNEWS程序出现了新样本。此样本于2023年1月被上传至VT，与之前的样本相比，此次样本修改了部分指令。样本运行后，首先会检查当前系统的时区是否为目标首都标准时间（此次样本中检查的均为巴基斯坦时区），时区符合时，样本才会继续执行。样本执行后，先使用管道以无回显的方式隐蔽执行cmd命令，收集受害主机上的基本运行信息。样本提供的功能与之前基本一致，只修改了对应5号指令的功能。功能包括屏幕截图、从指定路径下载文件、执行cmd命令等。样本通信依旧采用HTTP协议与C2服务器进行通信，同时通信路径依然硬编码在代码中。样本执行流程：
2023-07-05
疑似Patchwork组织利用WarHawk后门变种Spyder窥伺多国安恒威胁情报中心

研究人员发现一批与Patchwork存在关联的恶意样本，攻击者使用的后门并非Patchwork组织此前常用的木马。国外安全研究人员也发现了其中几个样本，根据C2服务器登录界面的信息将该后门命名为Spyder，并指出样本与Sidewinder组织的WarHawk后门存在相似之处。根据Spyder后门早期样本使用的数字签名和以此关联到的Remcos木马样本，研究人员更倾向于认为背后的攻击团伙是Patchwork。
2023-06-14
Patchwork组织攻击国内军工和高校安恒威胁情报中心

近期，研究人员通过威胁狩猎系统捕获到多起Patchwork组织的攻击活动，经过分析有如下发现：攻击者通过钓鱼邮件向我国政府及高校发起网络攻击，通过在邮件中附带恶意附件执行恶意代码，恶意附件伪造为.pdf文件，实际上为.lnk快捷方式，快捷方式通过powershell从C2服务器下载诱饵及木马文件。在攻击手法上，投递阶段保持了一贯的做法，以附带恶意附件或恶意连接的钓鱼邮件为主，投递阶段的标题多以“通知”、“会议”、“纪要”等具有时效性的话题为主。
2023-06-07
Patchwork组织在活动中使用开源组件安恒威胁情报中心

近期，研究人员监测到Patchwork组织的最新攻击动态。在本次攻击活动中，研究人员获取到Patchwork组织投递的恶意lnk文件，该文件用于下载第二阶段BADNEWS远控。另外，在分析过程中观察到Patchwork组织使用多种开源组件用于其攻击活动。
2023-05-24
Patchwork组织使用BADNEWS和Remcos商业木马的最新攻击活动安恒威胁情报中心

白象组织针对我国相关单位发起攻击活动。在本次攻击活动中，攻击者向目标投递钓鱼邮件，邮件附件为一个包含恶意LNK文件的压缩包，LNK文件用于下载BADNEWS远控木马，最终实现对目标的信息窃取、远程控制等功能。进一步关联分析发现，LNK系列攻击与近期针对南亚地区的军事政治等目标的网络攻击相关，关联到的攻击使用技术成熟的商业远控工具如Remcos，也是通过LNK类型诱饵，或文件名以军政题材命名的EXE程序、钓鱼网站等作为攻击前导，为此攻陷、注册了相当数量的网络基础设施来支撑载荷分发和控制通联。
2023-05-04
Patchwork组织攻击国内教育科研单位安恒威胁情报中心

Patchwork APT组织针对国内高校和科研单位发起了最新攻击。Patchwork组织使用钓鱼邮件攻击高校和科研机构的事件，本次事件相关的邮件附件名称为“全国妇联2023年修订《妇女权益保障工作指导意见》”、“先进结构与复合材料等4个重点专项2023年度项目申报指南的通知”、“长江设计集团有限公司2023年度招聘公告”。邮件内容以职场中的性骚扰事件或项目申报通知为由，引诱用户打开带有密码的压缩包文件，压缩中包含一个恶意lnk文件，用于下载第二阶段BADNEWS远控。通过分析发现该组织对以往使用的BADNEWS，进行了更新，对关键功能的调用顺序和方式做出了改进，更换了控制指令和调整对应功能的实现，替换部分关键字符串。
2022-11-23
Patchwork组织针对巴基斯坦最新攻击活动安恒威胁情报中心

Patchwork是疑似具有南亚背景的APT组织。研究人员捕获到了该组织的攻击样本。本次捕获的样本以“2022年总理赈灾基金”和“跨部门研讨会 - AML/CFT报名表格”为诱饵，释放“BADNEWS”最新变种木马程序进行窃密行动。此外，本次攻击活动主要以巴基斯坦为攻击目标，载荷加入了巴基斯坦时区校验以及更可靠的加密方式，并且ShellCode加入反调试手段。
2022-11-02
PatchWork组织Herbminister行动武器库揭秘安恒威胁情报中心

Patchwork是自 2015 年 12 月以来一直活跃的南亚APT组织，长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。研究人员在对PatchWork组织跟踪过程中发现，Patchwork从去年开始对多国一系列科研目标进行渗透攻击。通过APT情报测绘，研究人员掌握了归属于该组织的部分资产，获取了其批量攻击活动的工具，并依据这些工具名称将其命名为Herbminister 行动。PatchWork组织武器库大量采用开源红队工具，并在此基础上进行二次开发工作，其武器库存在多套攻击手法，全流程武器库包括不限于：信息收集、ByPass、域内横移、隔离网传播、安装部署、同种类多种武器类型(武器数目共计：76款)。
2022-10-28
Patchwork组织近期武器库迭代更新分析安恒威胁情报中心

摩诃草，又名Hangover、Patchwork、The Dropping Elephant、白象等，该APT组织被广泛认为具有南亚地区某国家背景组织。研究人员捕获了该组织的多个近期针对周边国家和地区的定向攻击样本。分析得出，该组织正在对其武器库进行更新迭代，并且使用被窃取的签名伪装攻击样本，该组织近期的木马特点如下：引入开源加密库，对加密算法进行更新；所属攻击样本大部分都打上了被窃取的签名，降低在主机上暴露的风险；Shellcode绕过部分安全产品对重点API调用的监控；开发新的注入器，并使用mimikatz窃取受害主机密钥。
2022-10-28
白象组织近期网络攻击活动分析安恒威胁情报中心

2022年9月底，研究人员发现一批白象组织（Patchwork）的网络攻击活动。攻击者通过挂载恶意链接投放诱饵文档，文档内容主要面向于科研院所，文档包含CVE-2017-11882的漏洞利用，触发漏洞后释放白象组织专有的BADNEWS远控木马。梳理相关活动的特征如下表：事件要点特征内容事件概述Patchwork组织近期网络攻击活动攻击目标科研院所等领域目标攻击手法钓鱼攻击投递恶意文档，释放木马攻击意图窃密攻击时间2022年09月
查看更多