威胁情报 | APT-Patchwork 组织测试 Badnews 新变种？

主要观点总结

知道创宇404高级威胁情报团队发现一个新的Patchwork组织badnews武器变种。该变种使用base64+Salsa20进行数据加密，基于功能插件化，去除了部分已知流量及文件检测特征。攻击者下发的诱饵文件为空白PDF文档。

关键观点总结

关键观点1: 新发现的badnews变种特点

使用base64+Salsa20进行数据加密，功能插件化，去除已知流量及文件检测特征，攻击者使用诱饵文件麻痹受害者。

关键观点2: 攻击流程

攻击链包括下载诱饵文档并存储运行，下载恶意载荷并存储，创建计划任务运行恶意载荷，解密shellcode等步骤。

关键观点3: Badnews分析描述

新发现的badnews变种主要利用插件下发的形式实现功能，文件大小相比以往更小。获取MAC地址、用户名、主机私有ip等信息，进行加密后上传。创建两个线程，一个负责与服务端保持心跳，一个负责从服务端接收数据并实现相关功能。

关键观点4: 样本归因及总结

新发现的样本与Patchwork组织近期使用的TTP相似，例如使用donut加载器，加密算法的相似性，数据回传结构的相似性，以及武器功能的相似性。推测Patchwork组织正在对badnews进行改造和测试。

文章预览

作 者： 知道创宇404高级威胁情报团队 时间：2024年9月30日 1 分析概述 参考资料 近期，知道创宇404高级威胁情报团队在分析过程中发现一个与Patchwork组织历史TTP极其相似的样本，该样本使用Patchwork常用的donut加载执行最终的载荷。最终载荷与该组织已知的武器badnews在代码方面存在大量重合，相比老版本的badnews具备以下特点： 1) 使用base64+Salsa20进行数据加密。 2) 在badnews的基础上进行了功能插件化。 3) 去除了badnews部分已知的流量及文件检测特征。 基于上述特点我们将其归为badnews新变种，经过分析还发现攻击者下发的诱饵文件为空白PDF文档，同时我们大胆推测该样本或为Patchwork内部人员进行武器更新而提交的测试样本。 以下将对该样本进行详细分析。 2 组织背景 参考资料 Patchwork(摩诃草、白象)是一个来自南亚地区的APT组织，因其攻击活动中频繁使 ………………………………