据知道创宇404高级威胁情报团队近期发现,名为“Patchwork”的黑客组织正以中国的大学和研究机构为目标进行活动,部署名为EyeShell的后门。
Patchwork也被称为“Operation Hangover”和“Zinc Emerson”,被怀疑是来自印度的APT组织。该组织发起的攻击链至少自 2015 年 12 月起就开始活跃,其关注点很窄,专门针对中国和巴基斯坦进行鱼叉式网络钓鱼和水坑攻击并植入特定程序。
EyeShell 是一个基于 .NET 的模块化后门,具有与远程命令和控制 (C2) 服务器建立联系,可以枚举文件和目录、向主机下载和上传文件、执行指定文件、删除文件和捕获屏幕截图。
研究还发现,该组织其他与印度相关的网络间谍组织(包括SideWinder和DoNot Team)在战术上均存在重叠。
今年5月初,Meta曾透露它关闭了 Patchwork 在Facebook 和 Instagram 上运营的 50 个帐户,这些帐户利用上传到 Google Play 商店的流氓软件收集来自巴基斯坦、斯里兰卡和中国等地的信息。
Meta表示,Patchwork 依靠一系列精心设计的虚构人物角色,对受害者进行社会工程,让他们点击恶意链接并下载恶意应用程序。这些程序含相对基本的恶意功能,对用户数据的访问完全依赖于用户最终授予的权限。值得注意的是,Patchwork 为聊天应用程序创建了一个虚假评论网站,在其中列出了排名前五的通信应用程序,并将一款自身控制的恶意程序放在了首位。
另一个威胁:Bitter
近期,知道创宇团队还详细披露了名为Bitter(又称为蔓灵花)的黑客组织的动向。该组织是一个疑似来自南亚的高级APT组织,自2013年以来便处于活跃状态,主要目标针对巴基斯坦、孟加拉国和沙特阿拉伯的能源、工程和政府部门,并部署名为 ORPCBackdoor的后门。
据另一家网络安全公司Intezer 今年3月披露的信息,Bitter也在对中国的组织开展间谍活动,研究人员曾发现7封冒充来自吉尔吉斯斯坦大使馆的电子邮件被发送给中国核能行业的有关机构。
这些电子邮件包含许多社会工程技术,用于发送邮件的姓名和邮件地址经过精心设计,看起来像是来自“驻北京的吉尔吉斯斯坦大使馆”。此外,邮件签名也是吉尔吉斯斯坦驻华大使馆实际工作人员的姓名,如果收件人进行初步核实,可以轻松地从 LinkedIn 和吉尔吉斯斯坦外交部网站找到确凿的信息,从而增加了该电子邮件的合法性。
看似来自大使馆的钓鱼邮件
为了进一步增加可信度,邮件主题和正文使用了政府和能源部门熟悉的术语和主题,如国际原子能机构(IAEA)、中国国际问题研究所(CIIS)等。Intezer 建议政府、能源、工程等领域,尤其是亚太地区的实体在收到电子邮件时保持警惕,尤其是那些声称来自其他外交实体的电子邮件。