今天看啥  ›  专栏  ›  知道创宇404实验室

威胁情报 | APT-Patchwork 组织测试 Badnews 新变种?

知道创宇404实验室  · 公众号  ·  · 2024-09-30 14:38

文章预览

作 者: 知道创宇404高级威胁情报团队 时间:2024年9月30日 1 分析概述 参考资料 近期,知道创宇404高级威胁情报团队在分析过程中发现一个与Patchwork组织历史TTP极其相似的样本,该样本使用Patchwork常用的donut加载执行最终的载荷。最终载荷与该组织已知的武器badnews在代码方面存在大量重合,相比老版本的badnews具备以下特点: 1) 使用base64+Salsa20进行数据加密。 2) 在badnews的基础上进行了功能插件化。 3) 去除了badnews部分已知的流量及文件检测特征。 基于上述特点我们将其归为badnews新变种,经过分析还发现攻击者下发的诱饵文件为空白PDF文档,同时我们大胆推测该样本或为Patchwork内部人员进行武器更新而提交的测试样本。 以下将对该样本进行详细分析。 2 组织背景 参考资料 Patchwork(摩诃草、白象)是一个来自南亚地区的APT组织,因其攻击活动中频繁使 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览