威胁情报 | APT-Patchwork 组织测试 Badnews 新变种？

文章预览

作 者： 知道创宇404高级威胁情报团队 时间：2024年9月30日 1 分析概述 参考资料 近期，知道创宇404高级威胁情报团队在分析过程中发现一个与Patchwork组织历史TTP极其相似的样本，该样本使用Patchwork常用的donut加载执行最终的载荷。最终载荷与该组织已知的武器badnews在代码方面存在大量重合，相比老版本的badnews具备以下特点： 1) 使用base64+Salsa20进行数据加密。 2) 在badnews的基础上进行了功能插件化。 3) 去除了badnews部分已知的流量及文件检测特征。 基于上述特点我们将其归为badnews新变种，经过分析还发现攻击者下发的诱饵文件为空白PDF文档，同时我们大胆推测该样本或为Patchwork内部人员进行武器更新而提交的测试样本。 以下将对该样本进行详细分析。 2 组织背景 参考资料 Patchwork(摩诃草、白象)是一个来自南亚地区的APT组织，因其攻击活动中频繁使 ………………………………