威胁情报 | APT-Patchwork 组织测试 Badnews 新变种？

主要观点总结

知道创宇404高级威胁情报团队发现一个新的Patchwork组织badnews武器变种。该变种使用base64+Salsa20进行数据加密，基于功能插件化，去除了部分已知流量及文件检测特征。攻击者下发的诱饵文件为空白PDF文档。

关键观点总结

关键观点1: 新发现的badnews变种特点

使用base64+Salsa20进行数据加密，功能插件化，去除已知流量及文件检测特征，攻击者使用诱饵文件麻痹受害者。

关键观点2: 攻击流程

攻击链包括下载诱饵文档并存储运行，下载恶意载荷并存储，创建计划任务运行恶意载荷，解密shellcode等步骤。

关键观点3: Badnews分析描述

新发现的badnews变种主要利用插件下发的形式实现功能，文件大小相比以往更小。获取MAC地址、用户名、主机私有ip等信息，进行加密后上传。创建两个线程，一个负责与服务端保持心跳，一个负责从服务端接收数据并实现相关功能。

关键观点4: 样本归因及总结

新发现的样本与Patchwork组织近期使用的TTP相似，例如使用donut加载器，加密算法的相似性，数据回传结构的相似性，以及武器功能的相似性。推测Patchwork组织正在对badnews进行改造和测试。

免责声明