Patchwork APT组织(又称“白象”)——一个被认为源自南亚的网络间谍活动组织——已发起新一轮攻击,使用名为 StreamSpy 的复杂木马。该组织至少自2009年起活跃,通常针对亚洲各地的政府、军事和工业部门。
奇安信威胁情报中心近期检测到这款新型恶意软件,其显著特点是通过“WebSocket与HTTP协议组合”规避传统网络检测。Patchwork利用WebSocket进行命令控制(C2),将恶意流量有效隐藏在看似正常的Web活动中。
StreamSpy设计旨在 隐蔽性和持久性。它伪装成ZIP文件(如OPS-VII-SIR.zip ),内含模仿PDF图标的可执行文件,“诱使受害者不加辨别地运行恶意程序”。
侵入系统后,恶意软件会拆分通信渠道:
- 指令与结果:通过WebSocket协议获取命令并传输结果,连接包含“stream”字符串的接口。
- 文件传输:利用标准HTTP协议处理文件上传/下载等大型操作。
该恶意软件高度可配置。执行时,它会“从资源部分解密配置数据”,包括网络C2详情、身份标签和持久化设置。
StreamSpy不仅是被动监听器,更是功能完备的间谍工具包。它收集广泛的设备数据,包括“主机名、用户名、操作系统版本和防病毒软件详情”。
其支持的命令类型多样:
- terminal_input:将命令传递给shell进程(CMD或PowerShell)执行。
- 文件操作:通过“F1A5C3”“D1E2F3”等特定代码实现文件下载、打开或删除。
- 信息收集:枚举受感染机器上的所有驱动器和目录内容。
为确保长期驻留,StreamSpy采用多种持久化方法,如创建计划任务、设置“RunOnce”注册表项,或在Startup目录放置LNK文件。
分析显示,StreamSpy并非孤立工具。研究人员发现“该木马与Patchwork使用的Spyder下载器存在相似性”。此外,存在跨组织协作证据:StreamSpy的数字签名与另一区域威胁组织Donot的样本相关联。
这种重叠表明更深层次的协调,“Mahagra(Patchwork)与Donot攻击组织在资源共享方面存在联系”。
发表评论
您还未登录,请先登录。
登录