中国南海和东南亚问题相关的网络攻击组织 捕获Patchwork APT攻击

南海仲裁这样的闹剧昨天还是宣布了一个可笑的判决，我泱泱大国昨天在海南广东等地派出的各种军队战舰证明这次我们可不是说着玩玩。“若有战，召必回”湿了多少人的眼眶。这边，黑客军团里，也开始借南海问题各种攻击。

最近，一个与东南亚和中国南海问题相关的apt攻击被发现，该apt攻击以包括美国在内的各国政府和公司为目标 。经安全专家分析，该apt攻击所使用的全部工具代码都是通过 复制-粘贴 互联网公开代码组合而成，相对于其它apt特有的攻击工具而言，比较独特。

cymmetria发现并发布了此apt攻击的分析报告，由于其代码来源于多个网络论坛和网站，如github、暗网和隐秘的犯罪论坛等，故把其命名为patchwork apt 攻击（patchwork：拼凑物）。

一、报告综述

patchwork apt自2015年12月被监测到之后，目前已经感染了大约2500台电脑，虽有迹象表明其最早活动可追溯至2014年，但cymmetria并未第一时间发现。

patchwork apt针对的目标是军事和政治机构，特别是那些与东南亚和南海问题相关的工作机构雇员，目标多是政府或与政府有间接联系的机构。

在存活的受害者系统上，patchwork apt通过搜索文档并上传至其c&c服务器，如果目标主机非常有价值，patchwork apt还会进一步安装第二阶段渗透工具。

以下为patchworkapt 的攻击时间范围：

 

二、调查

1 概述

该apt攻击于今年5月在针对欧洲政府部门的一起钓鱼活动中被发现，攻击目标为一个中国政策研究机构的工作人员，其以ppt文档为诱饵发起网络攻击，文档内容为中国在南海的一系列活动。

当ppt文档被打开后，嵌入执行cve-2014-4114漏洞代码，这个漏洞存在于未打补丁的 office powerpoint 2003 和2007中，漏洞利用代码曾被发起了名为 sandworm的apt 攻击。

一旦漏洞代码开始执行，第一阶段为部署攻击载体：一个利用autoit工具编译的脚本。这个脚本使用某网络论坛出现的名为uacme方法和代码来绕过系统uac。

获得更高权限之后，以meterpreter方式执行powersploit 脚本，（meterpreter是著名的metasploit框架远控工具）

下一阶段，开始对文档和目标主机价值进行筛选判断，如果目标足够有价值，攻击者再次部署第二阶段攻击模块，涉及到的攻击工具也大多来源于知名论坛或网络资源。以下为其攻击感染流程：

2 以蜜罐方式发现攻击者

为了捕获攻击者发起的第二阶段攻击程序，观察其在内网中的渗透活动，我们创建了一个真实网络环境，这个环境让攻击者觉得他们已经成功获取了主机权限。

零星的诱饵数据可以让攻击者向另一主机转移，这些数据可以是存储凭据，共享文件夹、浏览器cookies，vpn配置等其它信息。最终我们利用了cymmetria’s mazerunner 系统成功捕获了攻击者的活动。