在 Cyble Research and Intelligence Labs (CRIL) 的一份新报告中,臭名昭著的 Patchwork APT 组织通过部署“Nexe”后门的复杂活动再次展示了其网络间谍实力。该组织也被称为 Falling Elephant,自 2009 年以来一直活跃,专注于知名组织,包括政府、国防和外交实体,尤其是在南亚和东南亚。
CRIL 于 2024 年 7 月确定的最新活动似乎针对中国实体,特别关注航空航天、技术研究和政府部门。这并不奇怪,因为 Patchwork 长期以来一直与针对地缘政治对手的网络间谍活动有关。该活动以第七届中国商飞国际科技创新周为中心,使用了一个伪装成标题为“COMAC_Technology_Innovation.pdf.lnk”的 PDF 文档的恶意 LNK 文件。这个诱饵利用一个备受瞩目的事件来欺骗受害者执行恶意负载。
该活动的核心是启动感染的 LNK 文件。打开后,该文件将运行 PowerShell 脚本,下载两个组件:一个看起来合法的 PDF 以分散用户的注意力,以及一个用于执行攻击的恶意动态链接库 (DLL)。Patchwork 采用 DLL 旁加载,这是一种利用合法系统文件(在本例中为“WerFaultSecure.exe”)来执行恶意 DLL 而不会引起怀疑的技术。
加载恶意 DLL 后,它会解密并执行隐藏的 shellcode,修改 AMSIscanBuffer 和 ETWEventWrite 等关键 API 以绕过检测系统。这允许恶意软件在受感染的系统内秘密运行,避开通常会标记此类行为的防病毒和安全解决方案。
该活动的目的是 Nexe 后门,这是一种展示 Patchwork 集团持续发展的新变体。该恶意软件旨在从受害者的机器上收集敏感的系统信息,包括进程 ID、公共和私有 IP 地址、用户名和其他关键数据。收集数据后,使用 Salsa20 算法对其进行加密,使用 Base64 编码进一步混淆,然后传输到该组的命令和控制 (C2) 服务器。
Nexe 融入受害者系统的能力是其最危险的功能之一。通过使用合法的系统工具和 DLL 旁加载,恶意软件能够在后台运行,在逃避检测的同时窃取数据。后门还利用多层加密和内存驻留有效负载执行来确保持久性和隐身性,使攻击者能够保持对受感染系统的长期访问。
Patchwork APT 小组在本次活动中使用内存补丁的做法特别值得注意。通过操纵 AMSI 和 ETW API,该恶意软件有效地禁用了 Windows 的内置安全机制,这些机制旨在检测和阻止恶意脚本和进程。这种方法确保恶意软件可以在内存中执行而不会被常见的防病毒程序检测到,从而允许 Patchwork 在受害者的机器上长时间保持立足点。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容