事件描述

白象APT组织（Patchwork）是一支疑似具有南亚某政府背景的黑客组织，最早攻击活动可追溯到2009年。其攻击目标主要为中国、巴基斯坦、孟加拉国等国家的军工、外交、科研高校等相关敏感单位。

近期发现多起白象组织的攻击活动，攻击者通过钓鱼邮件向我国政府及高校发起网络攻击，通过在邮件中附带恶意附件执行恶意代码，恶意附件伪造为.pdf文件，实际上为.lnk快捷方式，快捷方式通过powershell从C2服务器下载诱饵及木马文件，从而控制用户设备,进一步渗透内网。

在攻击手法上，投递阶段保持了一贯的做法，以附带恶意附件或恶意连接的钓鱼邮件为主，投递阶段的标题多以“通知”、“会议”、“纪要”等具有时效性的话题为主。在后续载荷中除了使用以往的BADNEWS木马外，白象组织还开始使用开源木马如“Remcos”、“Havoc”对目标进行后渗透。

学校出口设备已经对部分该组织使用的C2地址和域名在出口处进行了封堵。

安全建议

1.不要打开来源不明的邮件链接和附件；

2.使用最新的杀毒软件,并确保其拥有已知恶意文件样本的检测能力。

后续工作

我们将继续关注该组织的新活动，并与相关部门合作排查和调查，欢迎各单位在发现类似攻击行为时及时汇报。后续我们也会持续分享最新威胁情报,请密切关注。