印度黑客借恶意 LNK 文件发起定向钓鱼攻击,锁定土耳其国防承包商
HackerNews 编译,转载请注明出处: 网络安全威胁组织Patchwork被指针对土耳其国防承包商发起新一轮鱼叉钓鱼攻击,旨在窃取战略情报。 Arctic Wolf实验室本周发布的技术报告指出:“攻击者通过伪装成会议邀请函的恶意LNK文件实施五阶段攻击链,目标锁定对无人载具系统感兴趣的机构。”该行动还锁定了某未具名的精确制导导弹系统制造商,攻击时机正值巴基斯坦与土耳其深化防务合作、印巴军事冲突升级之际,显示其地缘政治动机。 Patchwork(亦名APT-C-09、APT-Q-36、白象组织等)被评估为印度背景的国家级黑客组织。该组织自2009年活跃至今,长期针对中国、巴基斯坦等南亚国家发动攻击。 一年前,Knownsec 404团队曾披露该组织通过不丹相关实体投递Brute Ratel C4攻击框架及新版PGoShell后门。2025年初至今,其持续攻击中国高校,近期更利用电网主题诱饵投放基于Rust语言的加载器,最终解密执行名为Protego的C#木马以窃取Windows系统数据。 此次对土耳其的攻击标志着该组织行动版图扩张。攻击始于钓鱼邮件中的恶意LNK文件,触发多阶段感染流程: LNK文件调用PowerShell命令,从2025年6月25日注册的域名“expouav[.]org”获取载荷 服务器托管仿冒国际无人载具系统会议的PDF诱饵(正版会议信息存于waset[.]org) “该PDF文档作为视觉诱饵分散用户注意力,攻击链在后台静默运行” 关键载荷包括通过计划任务启动的恶意DLL,采用DLL侧加载技术执行shellcode,最终实现: 主机深度侦察 屏幕截图 数据回传至C2服务器 这标志着该威胁组织能力显著升级:从2024年11月的x64 DLL变种,发展为当前具备增强命令结构的x86 PE可执行文件。Patchwork通过架构多样化及仿冒合法网站的C2协议,持续投入攻击能力开发。 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
黑客组织 Patchwork 感染自己开发的恶意程序 导致内部系统被曝光
印度相关的黑客组织 Patchwork 自 2015 年 12 月以来一直很活跃,主要通过鱼叉式网络钓鱼攻击针对巴基斯坦。在 2021 年 11 月底至 12 月初的最新活动中,Patchwork 利用恶意 RTF 文件投放了 BADNEWS(Ragnatela)远程管理木马(RAT)的一个变种。但有趣的是这次活动却误伤了他们自己,使得安全研究人员得以一窥它的基础架构。 本次活动首次将目标锁定在研究重点为分子医学和生物科学的几位教员身上。令人讽刺的是,攻击者利用自己的 RAT 感染了自己的电脑,从而让安全公司 Malwarebytes 收集到了他们电脑和虚拟机的按键和屏幕截图。 通过分析,Malwarebytes 认为本次活动是 BADNEWS RAT 的一个新的变种,叫做 Ragnatela,通过鱼叉式网络钓鱼邮件传播给巴基斯坦的相关目标。Ragnatela 在意大利语中意为蜘蛛网,也是 Patchwork APT 使用的项目名称和面板。 在本次活动,当用户点击这些恶意 RTF 文档之后,就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序,它会以 OLE 对象存储在 RTF 文件中。在设备感染之后,它会和外部的 C&C 服务器建立连接,具备执行远程命令、截取屏幕、记录按键、收集设备上所有档案清单、在特定时间里执行指定程序、上传或者下载恶意程序等等。 Ragnatela RAT 是在 11 月下旬开发的,如其程序数据库 (PDB) 路径 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示,并被用于网络间谍活动。 Ragnatela RAT 允许威胁参与者执行恶意操作,例如: ● 通过 cmd 执行命令 ● 屏幕截图 ● 记录键盘按键 ● 收集受害者机器中所有文件的列表 ● 在特定时间段收集受害者机器中正在运行的应用程序列表 ● 下载附加有效载荷 ● 上传文件 为了向受害者分发RAT,Patchwork用冒充巴基斯坦当局的文件引诱他们。例如,一个名为 EOIForm.rtf 的文件被威胁者上传到他们自己的服务器 karachidha[.]org/docs/。该文件包含一个漏洞(Microsoft Equation Editor),其目的是破坏受害者的计算机并执行最终的有效载荷(RAT)。 不过,Malwarebytes 发现 Patchwork 自己也感染了 Ragnatela。通过 RAT,研究人员发现了该组织开发的基础框架,包括跑Virtual Box、VMware作为Web开发及测试环境,其主机有英文及印度文双键盘配置、以及尚未更新Java程式等。此外他们使用VPN Secure及CyberGhost来隐藏其IP位址,并透过VPN登入以RAT窃得的受害者电子邮件及其他帐号。 (消息及封面来源:cnBeta)