Palo Alto Networks：黑客組織Patchwork仍在南亞次大陸「興風作浪」

「用指尖改變世界」

在過去的幾個月里，Palo Alto Networks公司的 Unit 42威脅研究團隊發現黑客組織Patchwork(也稱 Dropping Elephant和Monsoon)一直在針對位於南亞次大陸的目標開展惡意攻擊活動。

該組織在攻擊活動中利用了兩個EPS漏洞，並試圖通過誘餌文檔傳播其修改後的BADNEWS惡意軟體。這是一個後門程序，用於為該組織提供對受感染設備的完全控制許可權。

據Unit 42的介紹，誘餌文檔中包含了能夠針對漏洞CVE-2015-2545和CVE-2017-0261利用的惡意嵌入式EPS文件，這是兩個已經被公開披露的漏洞。在今年1月份之前，Patchwork主要熱衷於利用CVE-2017-0261，但到了1月份下旬，新出現的誘餌文檔似乎放棄了此漏洞，而是轉向更早被披露的CVE-2015-2545。

近期活動中出現的誘餌文檔涉及多個主題，其中包括巴基斯坦陸軍最近的軍事促進活動、與巴基斯坦原子能委員會(Pakistan Atomic Energy Commission)有關的信息以及與巴基斯坦內政部有關的信息。

雖然主題不同，但誘餌文檔傳播的最終有效載荷都是經修改後的BADNEWS更新版本。當惡意EPS文件中的Shellcode執行時，會下載以下三個文件：

%PROGRAMDATA%MicrosoftDeviceSyncVMwareCplLauncher.exe

%PROGRAMDATA%MicrosoftDeviceSyncvmtools.dll

%PROGRAMDATA%MicrosoftDeviceSyncMSBuild.exe

VMwareCplLauncher.exe是合法且經過簽名的VMware可執行文件，用於提供BADNEWS的最終有效載荷;vmtools.dll是一個經過修改的DLL，可以確保惡意軟體的持久性並載入MSBuild.exe;MSBuild.exe冒用了合法的Microsoft Visual Studio工具的文件命名，而實質上是BADNEWS的執行。

文件在被下載後，VMwareCplLauncher.exe將首先執行，然後載入vmtools.dll。此DLL文件會創建一個名為BaiduUpdateTask1的計劃任務，該計劃任務會每隔一分鐘嘗試運行惡意MSBuild.exe。

下圖顯示了vmtools.dll創建的計劃任務，以確保BADNEWS能夠一直保持在受感染設備上持續運行。

就如文章一開始說的那樣，BADNEWS惡意軟體家族通常被用於充當後門，通過HTTP進行通信。它向攻擊者提供了許多功能，包括下載和執行附加信息、上載文檔以及屏幕截圖。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！