分析总结
Patchwork 是一个高级持续威胁 (APT) 组织,至少自 2014 年以来一直活跃。Patchwork 主要针对南亚和东南亚(包括印度、巴基斯坦和孟加拉国)的政府、国防和外交组织以及学术机构。然而,该组织也以其他地区的组织为目标,包括欧洲和北美。
据信该组织起源于印度,并与数起网络间谍活动有关。Patchwork 在其攻击中使用了一系列策略、技术和程序 (TTP)。一旦进入网络,该组织就会尝试通过定期建立新帐户、安装后门和其他恶意工具以及执行恶意活动来维持持久性。此外,Patchwork 还利用社会工程技术来追踪并从受感染的系统中窃取数据。该组织还使用各种规避技术来避免安全解决方案的检测。在某些情况下,该组织能够在很长一段时间内不被发现。
Patchwork 时间线中一个有趣的发展是它在 2018 年 3 月和 4 月期间参与了针对美国智库团体的鱼叉式网络钓鱼活动。这一特殊活动展示了 Patchwork 对操纵与政策和国际事务相关信息的兴趣。该组织的策略包括利用毫无戒心的受害者的好奇心或信任,制作带有恶意附件或链接的定制电子邮件。
总体而言,Patchwork 是一个复杂且持续的威胁参与者,对目标组织构成重大风险。对于组织而言,必须采取强有力的安全措施来防范此类攻击,包括定期软件更新和员工意识培训。
影响
1、信息盗窃
2、未经授权的远程访问
IOC
MD5
cd251ef6c8de6ec18c6001ab14d1f447
SHA-256
709298c36dcc4afedc1ef5725890f119d117df1ad5776cdeecda9c1a7380a33b
SHA-1
7033957c7112a6e2af5fa72f0878333380a35a05
网址
https://ppzo3687.b-cdn.net/rme
https://ppzo3687.b-cdn.net/m
补救措施
1、在您各自的控制中阻止所有威胁指示器。
2、利用各自的安全控制在您的环境中搜索危害指标 (IOC)
3、不要从未知来源下载电子邮件中附加的文档,并严格避免在来源不可靠时启用宏。
4、启用防病毒和反恶意软件软件并及时更新签名定义。使用多层保护对于保护易受攻击的资产是必要的
5、除了网络和系统强化之外,还应在组织内部实施代码强化,以确保其网站和软件的安全。使用测试工具来检测已部署代码中的任何漏洞。
转载来源:https://www.rewterz.com/rewterz-news/rewterz-threat-alert-patchwork-apt-threat-actor-group-active-iocs/
图片来源网络侵权可联系删除