威胁情报 |Patchwork 组织更新武器库，首次利用 Brute Ratel C4 和 PGoshell 增强版发起攻击

文章预览

作者： K & XWS @知道创宇404高级威胁情报团队 时间：2024年7月15日 1. 概述 参考资料 近期，知道创宇404高级威胁情报团队捕获到Patchwork组织疑似针对不丹的攻击样本，该样本除加载已多次发现的go语言后门(以下称“PGoShell”)外，还大规模增强了功能。与此同时，样本首次使用了红队工具 Brute Ratel  C4，即近期观察到的比较大的武器更新。该组织在最近2年的攻击活动中，于技术方面比其他同源组织投入的热情更多，并不断更新自身的武器库及加载方式。迄今为止，已发现该组织使用了超过10种不同的木马及加载方式。以下将对本次发现进行分析和描述。 2. 组织背景 参考资料 Patchwork （又称Dropping Elephant）是一个极为活跃的高级持续性威胁 (APT) 组织，自 2014 年以来一直在开展活动。Patchwork 主要针对东亚及南亚等亚洲地区的政府、国防和外交组织以及大 ………………………………