賽門鐵克安全響應團隊通過對Patchwork組織的調研發現,該組織現在不僅針對政府相關企業,更是通過后門木馬程序將航空、廣播和金融等各行業作為攻擊目標。
賽門鐵克安全響應團隊一直密切關注Patchwork組織的攻擊動向。Patchwork又被稱為Dropping Elephant,該組織以中國相關主題作為誘餌,進而對目標的網絡進行攻擊。
攻擊目標
最初,Patchwork組織僅針對政府以及政府相關企業進行攻擊。但隨后,該組織擴大目標范圍,將更多行業企業作為攻擊目標。盡管Patchwork依然將公共部門作為主要攻擊對象,但近期實施的攻擊被發現已經擴大至航空、廣播、能源、金融、非政府組織 (NGO)、醫藥、公共部門、出版、軟件等行業。
賽門鐵克的遙測數據顯示,Patchwork組織的攻擊目標遍布世界各地。盡管超過半數的攻擊仍集中在美國,但中國、日本、東南亞和英國同樣受到該組織的攻擊。
攻擊途徑
2015年11月,賽門鐵克首次監測到該組織的未遂攻擊行為,但賽門鐵克的遙測數據表明,該類活動早在2015年初或更早之前便已出現。
Patchwork組織主要通過合法的郵件列表提供商,向選定數量的目標發送包含攻擊者網站的郵件簡報。攻擊者網站的主要內容與中國相關,以期望能夠吸引對此類話題感興趣的目標企業。這些網站托管在與郵件列表提供商相同的網域中。值得注意的是,每個網站專為攻擊目標而定制,包含與目標行業相關的專題。
防御措施
賽門鐵克建議用戶采取以下措施,抵御Patchwork組織的攻擊:
及時刪除收到的任何可疑郵件,特別是包含鏈接或附件的郵件。魚叉式郵件經常被用于引誘受害者打開惡意文件;及時更新操作系統和其它軟件,軟件更新通常會對新發現并可能被攻擊者利用的安全漏洞進行修補;定期更新安全軟件,防御惡意軟件的新變種。