印度背景的 Patchwork 黑客组织,近期以鱼叉钓鱼攻击土耳其国防承包商,借恶意 LNK 文件实施五阶段攻击链,攻击旨在窃取战略情报,凸显出其地缘动机。该组织行动版图扩张,攻击能力亦有升级。
网络安全威胁组织Patchwork被指针对土耳其国防承包商发起新一轮鱼叉钓鱼攻击,旨在窃取战略情报。
Arctic Wolf实验室本周发布的技术报告指出:“攻击者通过伪装成会议邀请函的恶意LNK文件实施五阶段攻击链,目标锁定对无人载具系统感兴趣的机构。”该行动还锁定了某未具名的精确制导导弹系统制造商,攻击时机正值巴基斯坦与土耳其深化防务合作、印巴军事冲突升级之际,显示其地缘政治动机。
黑客组织背景
一年前,2025年初至今,其持续攻击中国高校,近期更利用电网主题诱饵投放基于Rust语言的加载器,最终解密执行名为Protego的C#木马以窃取Windows系统数据。
攻击流程
LNK文件调用PowerShell命令,从2025年6月25日注册的域名“expouav[.]org”获取载荷
服务器托管仿冒国际无人载具系统会议的PDF诱饵(正版会议信息存于waset[.]org)
“该PDF文档作为视觉诱饵分散用户注意力,攻击链在后台静默运行”
关键载荷包括通过计划任务启动的恶意DLL,采用DLL侧加载技术执行shellcode,最终实现:
主机深度侦察
屏幕截图
数据回传至C2服务器
这标志着该威胁组织能力显著升级:从2024年11月的x64 DLL变种,发展为当前具备增强命令结构的x86 PE可执行文件。Patchwork通过架构多样化及仿冒合法网站的C2协议,持续投入攻击能力开发。
转载请注明出处@安全威胁纵横,封面由chatgpt生成;
消息来源:https://thehackernews.com/2025/07/patchwork-targets-turkish-defense-firms.html
更多网络安全视频,请关注视频号“知道创宇404实验室”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...