中国南海和东南亚问题相关的网络攻击组织 捕获

南海仲裁闹剧的可笑判决公布之时，我国强大的军队力量在海南广东等地展现了坚定的立场和决心。一句“若有战，召必回”，触动了无数人的心灵。在这场争端背后，黑客军团也不甘示弱，借南海问题发起了各种网络攻击。

近期，一个针对东南亚和中国南海问题的APT攻击引起了广泛关注。据Cymmetria公司发布的分析报告，这一APT攻击的独特之处在于，其所使用的全部工具代码都是通过互联网公开代码进行复制粘贴、拼凑而成。该攻击以包括美国在内的各国和公司为目标，代码来源于多个网络论坛、网站，如Github、暗网以及犯罪论坛等，因此被命名为Patchwork APT攻击。

一、报告综述

自2015年12月被监测以来，Patchwork APT已经感染了大约2500台电脑。虽然迹象显示其最早活动可追溯至2014年，但Cymmetria公司当时并未发现。此次攻击主要针对军事和政治机构，特别是与东南亚和南海问题相关的工作机构雇员，目标多是或与有间接联系的机构。攻击者通过搜索文档并上传至其C&C服务器，若目标主机价值较高，还会进一步安装第二阶段渗透工具。

二、详细调查

最近一次PatchworkAPT的攻击是在今年5月，目标是一个研究中国政策的研究人员，攻击媒介是一份关于中国在南海一系列活动的PPT文档。当文档被打开时，会触发CVE-2014-4114漏洞代码，该漏洞存在于未打补丁的Office PowerPoint 2003和2007中。此次攻击利用的是名为Sandworm的APT攻击曾使用过的漏洞利用代码。

攻击的第一步是获得系统的执行权限，通过部署一个利用AutoIt工具编译的脚本，使用UACME方法和代码绕过系统UAC。获得更高权限后，以Meterpreter方式执行powersploit脚本。接下来，攻击者会对文档和目标主机价值进行判断，若目标有价值，就会部署第二阶段的攻击模块。这些模块的工具大多来源于知名论坛或网络资源。

为了更深入地了解攻击者的行为，我们采用蜜罐技术，创造一个真实的环境让攻击者觉得已经获取了主机权限。通过布置诱饵数据，如存储凭据、共享文件夹、浏览器cookies、VPN配置等，我们成功利用Cymmetria’s MazeRunner系统捕获了攻击者的活动。这种方式的目的是为了更好地理解攻击者的行为模式，以便更有效地应对此类网络威胁。在这场技术与智慧的较量中，我们必须保持高度警惕，确保国家的网络安全。