賽門鐵克安全響應(yīng)團(tuán)隊通過對Patchwork組織的調(diào)研發(fā)現(xiàn)，該組織現(xiàn)在不僅針對政府相關(guān)企業(yè)，更是通過后門木馬程序?qū)⒑娇铡V播和金融等各行業(yè)作為攻擊目標(biāo)。

賽門鐵克安全響應(yīng)團(tuán)隊一直密切關(guān)注Patchwork組織的攻擊動向。Patchwork又被稱為Dropping Elephant，該組織以中國相關(guān)主題作為誘餌，進(jìn)而對目標(biāo)的網(wǎng)絡(luò)進(jìn)行攻擊。

攻擊目標(biāo)

最初，Patchwork組織僅針對政府以及政府相關(guān)企業(yè)進(jìn)行攻擊。但隨后，該組織擴(kuò)大目標(biāo)范圍，將更多行業(yè)企業(yè)作為攻擊目標(biāo)。盡管Patchwork依然將公共部門作為主要攻擊對象，但近期實施的攻擊被發(fā)現(xiàn)已經(jīng)擴(kuò)大至航空、廣播、能源、金融、非政府組織 （NGO）、醫(yī)藥、公共部門、出版、軟件等行業(yè)。

賽門鐵克的遙測數(shù)據(jù)顯示，Patchwork組織的攻擊目標(biāo)遍布世界各地。盡管超過半數(shù)的攻擊仍集中在美國，但中國、日本、東南亞和英國同樣受到該組織的攻擊。

攻擊途徑

2015年11月，賽門鐵克首次監(jiān)測到該組織的未遂攻擊行為，但賽門鐵克的遙測數(shù)據(jù)表明，該類活動早在2015年初或更早之前便已出現(xiàn)。

Patchwork組織主要通過合法的郵件列表提供商，向選定數(shù)量的目標(biāo)發(fā)送包含攻擊者網(wǎng)站的郵件簡報。攻擊者網(wǎng)站的主要內(nèi)容與中國相關(guān)，以期望能夠吸引對此類話題感興趣的目標(biāo)企業(yè)。這些網(wǎng)站托管在與郵件列表提供商相同的網(wǎng)域中。值得注意的是，每個網(wǎng)站專為攻擊目標(biāo)而定制，包含與目標(biāo)行業(yè)相關(guān)的專題。

防御措施

賽門鐵克建議用戶采取以下措施，抵御Patchwork組織的攻擊：