印度黑客借恶意 LNK 文件发起定向钓鱼攻击,锁定土耳其国防承包商
- 浏览次数 252
- 喜欢 0
HackerNews 编译,转载请注明出处:
网络安全威胁组织Patchwork被指针对土耳其国防承包商发起新一轮鱼叉钓鱼攻击,旨在窃取战略情报。
Arctic Wolf实验室本周发布的技术报告指出:“攻击者通过伪装成会议邀请函的恶意LNK文件实施五阶段攻击链,目标锁定对无人载具系统感兴趣的机构。”该行动还锁定了某未具名的精确制导导弹系统制造商,攻击时机正值巴基斯坦与土耳其深化防务合作、印巴军事冲突升级之际,显示其地缘政治动机。
Patchwork(亦名APT-C-09、APT-Q-36、白象组织等)被评估为印度背景的国家级黑客组织。该组织自2009年活跃至今,长期针对中国、巴基斯坦等南亚国家发动攻击。
一年前,Knownsec 404团队曾披露该组织通过不丹相关实体投递Brute Ratel C4攻击框架及新版PGoShell后门。2025年初至今,其持续攻击中国高校,近期更利用电网主题诱饵投放基于Rust语言的加载器,最终解密执行名为Protego的C#木马以窃取Windows系统数据。
此次对土耳其的攻击标志着该组织行动版图扩张。攻击始于钓鱼邮件中的恶意LNK文件,触发多阶段感染流程:
- LNK文件调用PowerShell命令,从2025年6月25日注册的域名“expouav[.]org”获取载荷
- 服务器托管仿冒国际无人载具系统会议的PDF诱饵(正版会议信息存于waset[.]org)
- “该PDF文档作为视觉诱饵分散用户注意力,攻击链在后台静默运行”
关键载荷包括通过计划任务启动的恶意DLL,采用DLL侧加载技术执行shellcode,最终实现:
- 主机深度侦察
- 屏幕截图
- 数据回传至C2服务器
这标志着该威胁组织能力显著升级:从2024年11月的x64 DLL变种,发展为当前具备增强命令结构的x86 PE可执行文件。Patchwork通过架构多样化及仿冒合法网站的C2协议,持续投入攻击能力开发。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文