导 读
Cyble 研究与情报实验室 (CRIL) 最近的分析揭露了臭名昭著的 Patchwork APT 组织正在策划的一场网络攻击。这次攻击标志着他们的战术有了新的发展,利用一种名为“Nexe”的新后门有效地逃避检测机制并发起复杂的攻击,尤其是针对中国实体。
Patchwork APT 组织(也称为 Dropping Elephant)以其长期的网络间谍活动而闻名,自 2009 年以来一直活跃。该组织据信来自印度,主要针对知名组织,包括南亚和东南亚的政府和外交机构。
从历史上看,该组织曾多次针对中国和不丹的实体发动攻击,表现出针对地缘政治利益地区的集中攻击模式。
感染链
截至 2024 年 7 月,CRIL一直在追踪 Patchwork APT 的活动,并观察到 7 月 24 日开始的一场值得注意的活动。这涉及部署一个恶意 LNK 文件,该文件可能是通过网络钓鱼电子邮件传播的,该文件是初始感染媒介。
Patchwork APT 活动使用一个看似无害的 LNK 文件“COMAC_Technology_Innovation.pdf.lnk”,该文件以中国商用飞机有限责任公司为名引诱受害者。此举恰逢第七届中国商用飞机有限责任公司国际科技创新周,攻击针对中国航空航天和科技研究机构。
威胁分析师详细介绍了此次攻击活动所采用的策略,进一步凸显了 Patchwork APT 集团战略的复杂性。与此同时,另一个名为“Large_Innovation_Project_for_Bhutan.pdf.lnk”的 LNK 文件针对不丹,展示了适应基金委员会的一项提案。这表明该组织在使用特定区域诱饵来增加网络钓鱼成功率方面的适应性。
在正在进行的活动中,新发现的 LNK 文件“186523-pdf.lnk”与 Patchwork APT 组织的行动有关。执行后,此文件会下载两个关键组件:一个用于欺骗用户的无害 PDF 和一个包含加密 shellcode 的恶意动态链接库 (DLL)。通过使用 DLL 侧载技术,该恶意软件可以伪装其恶意活动,利用合法的 Windows 系统文件“WerFaultSecure.exe”加载 DLL 并执行其有效负载。
一旦加载,DLL 就会解密并执行 shellcode,从而修改 AMSIscanBuffer 和 ETWEventWrite 等关键 API 函数,从而使恶意软件能够在系统内不被发现地运行。这种有条不紊地逃避检测机制的做法凸显了 Patchwork APT 组织的先进能力。
对攻击的技术见解
该 LNK 文件伪装成 PDF,并启动一个PowerShell 脚本,负责执行多项恶意操作。该脚本首先利用“Invoke-WebRequest”命令从指定 URL 下载看似无害的 PDF,并将其保存在“C:ProgramData”目录中。然而,这个 PDF 没有任何内容,只是一个诡计。
随后,该脚本从同一域中获取另一个文件,最初将其保存为“hal”,然后将其重命名为“wer.dll”。这种战略命名约定与 Patchwork APT 组织采用的 DLL 侧加载技术相一致,有助于恶意 DLL 的执行,同时掩盖其真实性质。
为了确保在受感染环境中持久存在,该脚本创建了一个名为“EdgeUpdate”的计划任务,配置为定期运行合法的 WerFaultSecure.exe。这种策略不仅加强了恶意软件的存在,而且还使识别和消除威胁的努力变得复杂。
一旦成功加载恶意 DLL,它就会解密嵌入的 shellcode,该 shellcode 经过精心设计,可通过修补关键 API 函数(如 AmsiScanString 和 AmsiScanBuffer)中的特定字节来绕过安全机制。这种方法使恶意软件能够在不触发警报的情况下执行,证明了 Patchwork APT 组织在逃避检测方面的娴熟技能。
在将其最终有效负载加载到内存后,该恶意软件会使用各种功能来收集敏感的系统信息,例如受害者的 IP 地址、用户名和设备详细信息。随后使用 SHA256 哈希和 Salsa20 加密算法的组合对这些数据进行加密,这表明该组织的加密方法与以前的活动相比有所改进。
加密数据被连接成一个单一的字符串并传输到硬编码的命令和控制(C&C) 服务器,具体来说是“iceandfire[.]xyz”。这种数据泄露方法使 Patchwork APT 组织能够在受害者的环境中站稳脚跟,同时收集有价值的情报。
技术报告:https://cyble.com/blog/nexe-backdoor-unleashed-patchwork-apt-groups-sophisticated-evasion-of-defenses
新闻链接:
https://thecyberexpress.com/patchwork-apt-group/
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄罗斯支持的 Gamaredon 仍然是乌克兰“最活跃”的黑客组织
https://therecord.media/russia-gamaredon-eset-engaged-hackers
Patchwork APT 组织使用新的“Nexe”后门瞄准中国实体并逃避侦查
https://thecyberexpress.com/patchwork-apt-group/
25个与库尔德人有关的网站遭遇水坑攻击,传播恶意 APK 和间谍软件
https://thehackernews.com/2024/09/watering-hole-attack-on-kurdish-sites.html
Cloudflare 警告与印度有关的黑客正在针对南亚和东亚实体
https://thehackernews.com/2024/09/cloudflare-warns-of-india-linked.html
朝鲜黑客在针对性攻击中部署新型 KLogEXE 和 FPSpy 恶意软件
https://thehackernews.com/2024/09/n-korean-hackers-deploy-new-klogexe-and.html
一般威胁事件
General Threat Incidents
数百万起亚汽车易受远程黑客攻击
https://www.securityweek.com/millions-of-kia-cars-were-vulnerable-to-remote-hacking-researchers/
假冒 WalletConnect 应用程序通过 Google Play 商店传播,可窃取加密货币
https://www.pcmag.com/news/uninstall-now-this-android-app-is-secretly-stealing-crypto
Rhadamanthys窃贼在 0.7.0 版本中添加了创新的 AI 功能
https://www.recordedfuture.com/research/rhadamanthys-stealer-adds-innovative-ai-feature-version
微软将 Storm-0501 认定为混合云勒索软件攻击的主要威胁
https://thehackernews.com/2024/09/microsoft-identifies-storm-0501-as.html
新的 HTML 走私活动向俄语用户传播 DCRat 恶意软件
https://thehackernews.com/2024/09/new-html-smuggling-campaign-delivers.html
新的 RomCom 恶意软件变种“SnipBot”被发现用于数据窃取攻击
https://www.bleepingcomputer.com/news/security/new-romcom-malware-variant-snipbot-spotted-in-data-theft-attacks/
漏洞事件
Vulnerability Incidents
Nvidia 存在严重安全漏洞,导致云 AI 系统面临主机接管风险
https://www.securityweek.com/critical-nvidia-container-flaw-exposes-cloud-ai-systems-to-host-takeover/
CISA 警告称,第三个 Ivanti 漏洞正在被积极利用
https://www.darkreading.com/vulnerabilities-threats/cisa-adds-patched-ivanti-bug-kev-catalog
Progress Software 发布针对 WhatsUp Gold 中 6 个缺陷的补丁
https://thehackernews.com/2024/09/progress-software-releases-patches-for.html
被判定为“核弹级”的 UNIX 打印系统 (CUPS) 0day漏洞可远程代码执行,但威胁严重程度不及预期
https://www.securityweek.com/highly-anticipated-linux-flaw-allows-remote-code-execution-but-less-serious-than-expected/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Patchwork APT 组织使用“Nexe”后门瞄准中国航空航天及科研机构
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论