赛门铁克：企业请注意！Patchwork APT攻击范围已扩展到各行各业

前一阵，我们在《揭秘Patchwork APT攻击：一个与中国南海和东南亚问题相关的网络攻击组织》一文中谈到了这个名叫Patchwork的组织。实际上，卡巴斯基实验室之前也做了相关该组织APT攻击的调查报告（卡巴斯基在报告中将该组织称作Dropping Elephant）。

这两天，赛门铁克安全响应中心也针对Patchwork发起了一份最新的报告。其中谈到Patchwork先前一直是以政府以及与政府相关的组织，为攻击目标的。不过最近Patchwork似乎将攻击目标做了极大扩展，企业现在也需要小心Patchwork APT攻击了！

从赛门铁克的追踪情报来看，Patchwork现如今的攻击目标有了极大范围的扩展，不过主要还是针对公共部门和企业。近期Patchwork的一些攻击针对的行业包括：航空、广播、能源、金融、非政府组织、制药、公有企业、出版、软件。

攻击目标的地理位置则也扩展到了美国之外，虽然大约有半数攻击仍然针对美国，但其余攻击针对的国家地区则相对已经比较分散了，包括中国、日本、东南亚、英国等。

而其攻击方式看来并没有太大变化：仍然是向目标发出时事新闻邮件。邮件中会包含攻击者的网站链接，这些网站的内容主要都是相关中国的——用赛门铁克的话来说，这些内容能够“吸引被攻击目标的兴趣”。

作为APT攻击，具有高度针对性是必然的，所以攻击者的不同网站针对不同的目标——网站上的内容肯定也是针对被攻击行业目标做定制的，比如像上面这个网站是相关中国军方的。先前《揭秘APT组织》一文中也提到了这一点。

这些站点会涉及的恶意文件链接，指向不同的域名（似为中国情报机构合法来源注册的域名），其中主要的几个域名均指向两个IP地址：212.83.146.3，37.58.60.195。

上面提到的恶意站点主要提供的恶意程序包含两种格式，分别是.pps和.doc文档——其实也就是PowerPoint和Word文档。其中PPT文件利用的是Windows OLE Package Manager远程代码执行漏洞（CVE-2014-4114）；而Word文档则利用了Office内存破坏漏洞（CVE-2015-1641）——这个漏洞已经在去年4月份修复；另外还有CVE-2012-0158这样更老的漏洞。

我们之前在文章中已经分析了恶意PPT文件对Windows OLE Package Manager远程代码执行漏洞的利用。在此，如果用户使用较老版本的PowerPoint（PowerPoint 2016之前的版本）打开此处的恶意PPT文件，会弹出一个警告对话框（而非完全禁止恶意程序感染），如下图所示。

这个对话框询问用户是否想要打开driver.inf，根据操作系统版本情况可能会有差异。如果用户在此选择了“打开”，则设备中招。如果选择取消的话，系统就不会被感染。打开PPT文件的话，临时文件夹中就会出现Backdoor.Enfourks木马。恶意Word文件在对CVE-2015-1641漏洞的利用中，则会释放Backdoor.Steladok。

这两个后门木马家族还是需要等待攻击者具体的指令再行动，其具体用途在于对文件进行搜索，将文件上传到指定服务器。尤为值得一提的是（赛门铁克原话是：for unknown reason），两者都会用到百度。

这两只木马通过ping百度服务器的方式来确认网络连接（！！！），并且在注册表中用baidu的名字创建注册表随机启动项。这两个不同的文件实际上包含两套不同的payload，可见开发团队应该不是一个人，甚至有可能是多个开发团队协力（虽然貌似质量不是很高）。

有关恶意程序恶意行为和查杀的详情可以关注先前Cymmetria的赛门铁克的详细报告。

对企业用户的忠告其实还是那几句话，不要打开看起来可疑的邮件，如果邮件中还有附件和链接的话更需要谨慎——毕竟具有高度针对性的钓鱼邮件是网络间谍行动的常规手法；另外就是保持操作系统和软件版本最新，这次的恶意程序主要还是利用一些比较老的漏洞。

原创文章，作者：ItWorker，如若转载，请注明出处：https://blog.ytso.com/57351.html