解密Patchwork 间谍组织手段：利用中国敏感话题作诱饵

Patchwork又被称为Dropping Elephant，该组织以中国相关主题作为诱饵，比如中国南海问题，进而对目标的网络进行攻击。Patchwork组织的攻击目标遍布世界各地，尽管超过半数的攻击仍集中在美国，但中国、日本、东南亚、英国和土耳其同样受到该组织的攻击。

由于该组织所发起的攻击，主要针对的是比较机密的数据而不是为了获利，所以趋势科技认为此组织应该属于间谍组织。最初，Patchwork组织的目标多是政府或与政府有间接联系的机构。但随后，该组织扩大目标范围，将更多行业企业作为攻击目标。尽管Patchwork目前依然将公共部门作为主要攻击对象，但攻击范围已经扩大至以下行业了：

通信行业

广播行业

能源行业

金融行业

非政府组织

医药行业

公共部门

出版行业

软件行业

在线零售商

Patchwork的发展特点

经安全专家分析，攻击时所使用的全部工具代码都是通过复制粘贴诸如Github、暗网和其它网络论坛而拼凑成的，所以这也是该组织叫做Patchwork（拼凑物）的原因。相对于其它攻击特有的攻击工具而言，Patchwork的攻击比较独特，因为其高度复杂的操作与其所具有的低技术含量形成了鲜明的对比。在受害者的系统上，Patchwork会通过搜索文档并将其上传至C&C服务器，如果目标非常有价值，Patchwork还会进一步安装第二阶段的攻击工具。

有迹象表明Patchwork最早活动可追溯至2014年，不过最近趋势科技又监测到了Patchwork的活动。研究人员发现在2017年，该组织所使用的攻击方法花样繁多，不但有基于社会工程的攻击，还有基于攻击链的攻击链，甚至连后门方法都用上了。除此之外，他们还加入了最新的动态数据交换（DDE），Windows脚本组件（SCT）技术以及利用最新曝出的漏洞。这意味着该组织一直在密切关注着网络安全行业的发展和安全趋势，只有这样，他们可以不断地重新设计并迭代已有的攻击技术。另外值得注意的是，Patchwork所发起的攻击行为都非常的隐蔽和高效，要不然怎么被称为间谍行为组织呢。

根据目前所掌握的信息，攻击者有可能是亲印度或印度人。但也有另一种可能性，就是攻击者伪装成印度人。

Patchwork的攻击特点

攻击者最擅长的攻击方式就是钓鱼攻击，当目标打开含有网站重定向，直接链接或恶意附件的电子邮件后，攻击就会开始。例如，Patchwork会向用户发送一个伪装的新闻网站链接，在用户点击后，攻击者会将访问者重定向到恶意网址。这些钓鱼邮件都托管在Patchwork所拥有的服务器上，而这些服务器的域与合法站点非常类似。

在中国，Patchwork会在一些被入侵的网站，比如搭建一个虚假的优酷和土豆网站，来提供模仿Adobe Flash Player更新的“Drive-by download”（重定向下载）服务进行攻击，这实际上是xRAT木马的变种。

该组织还通过网络钓鱼的方式来窃取他们目标的邮件和其他在线账户。例如，他们所使用的一个钓鱼工具包，就是从一个合法的网络开发公司的网页。而这些钓鱼网站只能以邮件的附件链接形式打开才有效，如果受害者把这些链接复制黏贴到地址栏再打开，那打开的只能是络开发公司的网页，从这一点也能看出其攻击的隐蔽性。

Patchwork最喜欢的钓鱼文件有哪些？

攻击者网站的主要内容与中国相关，以期望能够吸引对此类话题感兴趣的目标企业。这些网站托管在与邮件列表提供商相同的网域中，值得注意的是，每个网站专为攻击目标而定制，包含与目标行业相关的专题。

这些恶意网站中包含链接到托管于不同网域上的恶意文件，这些网域注册所使用的名称则伪装成合法的中国情报来源。

这些网站主要托管两种不同的恶意文件：一种为PPT文件(.pps)，另一种为包含Word.doc扩展名的富文本文件。这些文档包含来自合法网站的公开内容副本，话题涉及军队及国防、医疗、海事争端等。

1.Rich Text Format（RTF）文件利用的是 CVE-2012-1856 Office系列的老旧漏洞，不过，2012年8月微软通过MS12-060进行了修补。CVE-2012-1856是Windows常见控件MSCOMCTL中的一个远程代码执行漏洞，属于ActiveX控件代码注入漏洞。

2.PowerPoint Open XML Slide Show (PPSX) 文件利用了Sandworm（CVE-2014-4114）漏洞，不过，2014年10月Windows OLE 远程代码执行漏洞已经被修复。

3.PowerPoint（PPT）文件利用了CVE-2017-0199 WORD/RTF嵌入OLE调用远程文件执行的一个漏洞，不过已于2017年4月修补。

4.PPSX文件利用的是Office远程代码执行漏洞(CVE-2017-8570)，这是Office于2017年7月发布的一个漏洞，目前还未被修复。其成因是Microsoft PowerPoint执行时会初始化Moniker对象，而在PowerPoint播放动画期间会激活该对象，从而执行sct脚本（Windows Component）文件（该文件托管在Patchwork所拥有的服务器上）。攻击者可以欺骗用户运行含有该漏洞的PPT文件，这样xRAT恶意软件就会开始运行，让他们获取和当前登录用户相同的代码执行权限。

5.RTF文件利用的CVE-2015-1641，这是2015年4月份已经被修复的Office中的一个内存损坏漏洞。该漏洞执行后，攻击者将删除一个包含Badnews后门程序的动态链接库（DLL），这是通过使用DLL的侧载技术（side-loading）加载和执行的。其中，Badnew利用RSS订阅、GitHub、论坛、博客和动态DNS主机向远程C&C服务器进行通信，比较独特，因此才把其命名为BADNEWS（此BADNEWS非感染Andriod平台的BADNEWS http://sec.chinabyte.com/67/12599067.shtml）。

Patchwork除了利用含有漏洞的文件之外，还利用DDE来检索和执行被感染设备上的xRAT。另外，他们还发送了一个嵌入了可执行文件的文档，该文件可以下载一个诱饵文档和一个后门，然后执行后门攻击。

释放的有效攻击载荷

当含有漏洞的文件被打开之后，它们就会释放有效攻击载荷，此时Patchwork就会部署一系列的后门和攻击工具，比如这些：

1.xRAT是一个远程访问工具，其源代码在Github上可以找到，这意味着任何人都可以重新复制和编译该工具。

2.NDiskMonitor是一个由Patchwork自己所开发的后门，它可以列出受感染设备的文件，逻辑驱动器，以及从指定的URL下载和执行文件。

3.Socksbot，作为模块执行的DLL。Socksbot会根据状态码响应执行多个活动，首先它会启动Socket Secure（SOCKS）代理，然后进行屏幕截图，最后编写和执行可执行文件和PowerShell脚本。

4.badnews，具有强大的信息窃取和文件执行能力的后门，它也可以监控USB设备并将目标文件复制到C＆C服务器。

5.File Stealers，Taskhost Stealer和Wintel Stealer将Microsoft Word，Excel，PowerPoint文档（.doc，.docx，.xls，.xlsx，.ppt和.pptx），可移植文档格式（.pdf），RTF文件以及电子邮件（.eml，.msg）作为攻击目标，Patchwork还使用了AutoIt编写的文件窃取器。

Patchwork的攻击过程

趋势科技在2017年发现了30到40个Patchwork攻击活动中所使用的IP地址以及域名。每个网站专为攻击目标而定制，有些只是负责汇集攻击者发送过来数据的C＆C服务器，所以没有一个域名指向这些IP地址。在某些情况下，同一个服务器在被用于C＆C通信时，也会同时充当一个网站，该网站所加载的内容虽然都是从合法网站复制过来的，但其实是用来传播恶意软件或含有木马文档的。不过一般情况下，该服务器仅用于托管恶意网站。

这些恶意攻击会利用公开的PHP脚本来从服务器检索文件，这样其真实的攻击路径就不会被暴露。不过在研究人员看来，Patchwork隐藏路径的真正目的是为了阻止研究人员找到这些公开的可以利用的PHP脚本。研究人员已经发现很多次，在攻击得逞后，Patchwork会暂时删除一个文件，让研究人员无法顺藤摸瓜的逆向分析。不过有时攻击者还会用一个合法的文件来进行替换，以欺骗研究人员。在Patchwork托管的一些服务器的主页上，他们会显示一个伪造的302重定向页面，以便欺骗研究人员，让他们误认为这些文件已经消失。

防御措施

由于Patchwork每过一段时间，都会对攻击工具和所使用的恶意软件，进行重新设计和更换，所以对Patchwork的预防非常困难。而且这种攻击思路正在被许多攻击者借鉴和利用，这是最令安全研究人员担忧的。

这更加突出了深度防御的重要性，即通过积极主动的防御，从网关，端点再到服务器，严防死守每道关。

建议用户采取以下措施，抵御Patchwork组织的攻击：

1.及时更新操作系统和其它软件，软件更新通常会对新发现并可能被攻击者利用的安全漏洞进行修补。

2.定期更新安全软件，防御恶意软件的新变种。

3.建立黑名单制度，但要确保系统管理员保留的工具（如PowerShell）能够使用。

4.网络分段和数据分类有助于防止攻击进行横向扩散以及进一步的数据窃取，而行为监控和应用程序控制可阻止可疑文件执行异常例程。

5.最重要的是，保护电子邮件网关。

6.及时删除收到的任何可疑邮件，特别是包含链接或附件的邮件。鱼叉式网络钓鱼邮件经常被用于引诱受害者打开恶意文件。