據(jù)知道創(chuàng)宇404高級威脅情報團隊近期發(fā)現(xiàn)，名為“Patchwork”的黑客組織正以中國的大學和研究機構(gòu)為目標進行活動，部署名為EyeShell的后門。

Patchwork也被稱為“Operation Hangover”和“Zinc Emerson”，被懷疑是來自印度的APT組織。該組織發(fā)起的攻擊鏈至少自 2015 年 12 月起就開始活躍，其關(guān)注點很窄，專門針對中國和巴基斯坦進行魚叉式網(wǎng)絡(luò)釣魚和水坑攻擊并植入特定程序。

EyeShell 是一個基于 .NET 的模塊化后門，具有與遠程命令和控制 (C2) 服務(wù)器建立聯(lián)系，可以枚舉文件和目錄、向主機下載和上傳文件、執(zhí)行指定文件、刪除文件和捕獲屏幕截圖。

研究還發(fā)現(xiàn)，該組織其他與印度相關(guān)的網(wǎng)絡(luò)間諜組織（包括SideWinder和DoNot Team）在戰(zhàn)術(shù)上均存在重疊。

今年5月初，Meta曾透露它關(guān)閉了 Patchwork 在Facebook 和 Instagram 上運營的 50 個帳戶，這些帳戶利用上傳到 Google Play 商店的流氓軟件收集來自巴基斯坦、斯里蘭卡和中國等地的信息。

Meta表示，Patchwork 依靠一系列精心設(shè)計的虛構(gòu)人物角色，對受害者進行社會工程，讓他們點擊惡意鏈接并下載惡意應(yīng)用程序。這些程序含相對基本的惡意功能，對用戶數(shù)據(jù)的訪問完全依賴于用戶最終授予的權(quán)限。值得注意的是，Patchwork 為聊天應(yīng)用程序創(chuàng)建了一個虛假評論網(wǎng)站，在其中列出了排名前五的通信應(yīng)用程序，并將一款自身控制的惡意程序放在了首位。

另一個威脅：Bitter

近期，知道創(chuàng)宇團隊還詳細披露了名為Bitter（又稱為蔓靈花）的黑客組織的動向。該組織是一個疑似來自南亞的高級APT組織，自2013年以來便處于活躍狀態(tài)，主要目標針對巴基斯坦、孟加拉國和沙特阿拉伯的能源、工程和政府部門，并部署名為 ORPCBackdoor的后門。

據(jù)另一家網(wǎng)絡(luò)安全公司Intezer 今年3月披露的信息，Bitter也在對中國的組織開展間諜活動，研究人員曾發(fā)現(xiàn)7封冒充來自吉爾吉斯斯坦大使館的電子郵件被發(fā)送給中國核能行業(yè)的有關(guān)機構(gòu)。

這些電子郵件包含許多社會工程技術(shù)，用于發(fā)送郵件的姓名和郵件地址經(jīng)過精心設(shè)計，看起來像是來自“駐北京的吉爾吉斯斯坦大使館”。此外，郵件簽名也是吉爾吉斯斯坦駐華大使館實際工作人員的姓名，如果收件人進行初步核實，可以輕松地從 LinkedIn 和吉爾吉斯斯坦外交部網(wǎng)站找到確鑿的信息，從而增加了該電子郵件的合法性。

看似來自大使館的釣魚郵件

為了進一步增加可信度，郵件主題和正文使用了政府和能源部門熟悉的術(shù)語和主題，如國際原子能機構(gòu)（IAEA）、中國國際問題研究所（CIIS）等。Intezer 建議政府、能源、工程等領(lǐng)域，尤其是亞太地區(qū)的實體在收到電子郵件時保持警惕，尤其是那些聲稱來自其他外交實體的電子郵件。