危险！中国的大学和研究机构被Patchwork 黑客组织盯上

据知道创宇404高级威胁情报团队近期发现，名为“Patchwork”的黑客组织正以中国的大学和研究机构为目标进行活动，部署名为EyeShell的后门。

Patchwork也被称为“Operation Hangover”和“Zinc Emerson”，被怀疑是来自印度的APT组织。该组织发起的攻击链至少自 2015 年 12 月起就开始活跃，其关注点很窄，专门针对中国和巴基斯坦进行鱼叉式网络钓鱼和水坑攻击并植入特定程序。EyeShell 是一个基于 .NET 的模块化后门，具有与远程命令和控制 (C2) 服务器建立联系，可以枚举文件和目录、向主机下载和上传文件、执行指定文件、删除文件和捕获屏幕截图。研究还发现，该组织其他与印度相关的网络间谍组织（包括SideWinder和DoNot Team）在战术上均存在重叠。今年5月初，Meta曾透露它关闭了 Patchwork 在Facebook 和 Instagram 上运营的 50 个帐户，这些帐户利用上传到 Google Play 商店的流氓软件收集来自巴基斯坦、斯里兰卡和中国等地的信息。Meta表示，Patchwork 依靠一系列精心设计的虚构人物角色，对受害者进行社会工程，让他们点击恶意链接并下载恶意应用程序。这些程序含相对基本的恶意功能，对用户数据的访问完全依赖于用户最终授予的权限。值得注意的是，Patchwork 为聊天应用程序创建了一个虚假评论网站，在其中列出了排名前五的通信应用程序，并将一款自身控制的恶意程序放在了首位。

另一个威胁：Bitter

近期，知道创宇团队还详细披露了名为Bitter（又称为蔓灵花）的黑客组织的动向。该组织是一个疑似来自南亚的高级APT组织，自2013年以来便处于活跃状态，主要目标针对巴基斯坦、孟加拉国和沙特阿拉伯的能源、工程和政府部门，并部署名为 ORPCBackdoor的后门。

据另一家网络安全公司Intezer 今年3月披露的信息，Bitter也在对中国的组织开展间谍活动，研究人员曾发现7封冒充来自吉尔吉斯斯坦大使馆的电子邮件被发送给中国核能行业的有关机构。

这些电子邮件包含许多社会工程技术，用于发送邮件的姓名和邮件地址经过精心设计，看起来像是来自“驻北京的吉尔吉斯斯坦大使馆”。此外，邮件签名也是吉尔吉斯斯坦驻华大使馆实际工作人员的姓名，如果收件人进行初步核实，可以轻松地从 LinkedIn 和吉尔吉斯斯坦外交部网站找到确凿的信息，从而增加了该电子邮件的合法性。

看似来自大使馆的钓鱼邮件

为了进一步增加可信度，邮件主题和正文使用了政府和能源部门熟悉的术语和主题，如国际原子能机构（IAEA）、中国国际问题研究所（CIIS）等。Intezer 建议政府、能源、工程等领域，尤其是亚太地区的实体在收到电子邮件时保持警惕，尤其是那些声称来自其他外交实体的电子邮件。

尴尬：FBI 调查发现竟是自己违规使用 iPhone 黑客工具

IT之家 8 月 2 日消息，《纽约时报》今年 4 月报道称，美国政府机构从承包商处购买了 NSO Group 的软件，专门用于破解 iPhone 并获取相关内容。

美国白宫当时回应称对此事并不知情，并表示已要求美国联邦调查局（FBI）着手进行调查。而令人尴尬的是，调查结果显示，购买和使用 NSO Group 软件的部门，恰恰是 FBI 自己。IT之家援引《纽约时报》本周一报道，美国白宫于 2021 年 11 月将 NSO Group 列入商务部黑名单，而就在几天之后，FBI 和承包商 Riva Networks 签署了购买协议。FBI 在调查报告中认为，这次合作是无意中发生的。FBI 局长斯托弗・雷（Christopher Wray）表示在发现该问题合同之后，已经于今年 4 月终止了合同。联邦调查局尚未解释为何会出现这种情况，但使用的工具并非臭名昭著的 "Pegasus"，而是一种名为"Landmark" 的工具。Landmark 不直接入侵手机，而是能够缩小范围并追踪设备的位置。

文章来源 ：IT之家、feeebuf

精彩推荐

乘风破浪|华盟信安线下·web渗透夏令营暨网络安全就业班招生中！

web渗透入门基础篇|充电

‍

‍

重磅|2023华盟HW工程师招募