據(jù)知道創(chuàng)宇404高級(jí)威脅情報(bào)團(tuán)隊(duì)近期發(fā)現(xiàn)，名為“Patchwork”的黑客組織正以中國(guó)的大學(xué)和研究機(jī)構(gòu)為目標(biāo)進(jìn)行活動(dòng)，部署名為EyeShell的后門。

Patchwork也被稱為“Operation Hangover”和“Zinc Emerson”，被懷疑是來(lái)自印度的APT組織。該組織發(fā)起的攻擊鏈至少自 2015 年 12 月起就開(kāi)始活躍，其關(guān)注點(diǎn)很窄，專門針對(duì)中國(guó)和巴基斯坦進(jìn)行魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和水坑攻擊并植入特定程序。

EyeShell 是一個(gè)基于 .NET 的模塊化后門，具有與遠(yuǎn)程命令和控制 (C2) 服務(wù)器建立聯(lián)系，可以枚舉文件和目錄、向主機(jī)下載和上傳文件、執(zhí)行指定文件、刪除文件和捕獲屏幕截圖。

研究還發(fā)現(xiàn)，該組織其他與印度相關(guān)的網(wǎng)絡(luò)間諜組織（包括SideWinder和DoNot Team）在戰(zhàn)術(shù)上均存在重疊。

今年5月初，Meta曾透露它關(guān)閉了 Patchwork 在Facebook 和 Instagram 上運(yùn)營(yíng)的 50 個(gè)帳戶，這些帳戶利用上傳到 Google Play 商店的流氓軟件收集來(lái)自巴基斯坦、斯里蘭卡和中國(guó)等地的信息。

Meta表示，Patchwork 依靠一系列精心設(shè)計(jì)的虛構(gòu)人物角色，對(duì)受害者進(jìn)行社會(huì)工程，讓他們點(diǎn)擊惡意鏈接并下載惡意應(yīng)用程序。這些程序含相對(duì)基本的惡意功能，對(duì)用戶數(shù)據(jù)的訪問(wèn)完全依賴于用戶最終授予的權(quán)限。值得注意的是，Patchwork 為聊天應(yīng)用程序創(chuàng)建了一個(gè)虛假評(píng)論網(wǎng)站，在其中列出了排名前五的通信應(yīng)用程序，并將一款自身控制的惡意程序放在了首位。

另一個(gè)威脅：Bitter

近期，知道創(chuàng)宇團(tuán)隊(duì)還詳細(xì)披露了名為Bitter（又稱為蔓靈花）的黑客組織的動(dòng)向。該組織是一個(gè)疑似來(lái)自南亞的高級(jí)APT組織，自2013年以來(lái)便處于活躍狀態(tài)，主要目標(biāo)針對(duì)巴基斯坦、孟加拉國(guó)和沙特阿拉伯的能源、工程和政府部門，并部署名為 ORPCBackdoor的后門。

據(jù)另一家網(wǎng)絡(luò)安全公司Intezer 今年3月披露的信息，Bitter也在對(duì)中國(guó)的組織開(kāi)展間諜活動(dòng)，研究人員曾發(fā)現(xiàn)7封冒充來(lái)自吉爾吉斯斯坦大使館的電子郵件被發(fā)送給中國(guó)核能行業(yè)的有關(guān)機(jī)構(gòu)。

這些電子郵件包含許多社會(huì)工程技術(shù)，用于發(fā)送郵件的姓名和郵件地址經(jīng)過(guò)精心設(shè)計(jì)，看起來(lái)像是來(lái)自“駐北京的吉爾吉斯斯坦大使館”。此外，郵件簽名也是吉爾吉斯斯坦駐華大使館實(shí)際工作人員的姓名，如果收件人進(jìn)行初步核實(shí)，可以輕松地從 LinkedIn 和吉爾吉斯斯坦外交部網(wǎng)站找到確鑿的信息，從而增加了該電子郵件的合法性。

看似來(lái)自大使館的釣魚(yú)郵件

為了進(jìn)一步增加可信度，郵件主題和正文使用了政府和能源部門熟悉的術(shù)語(yǔ)和主題，如國(guó)際原子能機(jī)構(gòu)（IAEA）、中國(guó)國(guó)際問(wèn)題研究所（CIIS）等。Intezer 建議政府、能源、工程等領(lǐng)域，尤其是亞太地區(qū)的實(shí)體在收到電子郵件時(shí)保持警惕，尤其是那些聲稱來(lái)自其他外交實(shí)體的電子郵件。