關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.07.26
訊息與報導/資訊安全
Patchwork針對土耳其國防企業的魚叉式網路釣魚攻擊

引言

2025年7月25日,The Hacker News發布文章《Patchwork Targets Turkish Defense Firms with Spear-Phishing Using Malicious LNK Files》,揭示印度背景的國家級駭客組織Patchwork(又稱APT-C-09、Dropping Elephant、Quilted Tiger)針對土耳其國防企業發動魚叉式網路釣魚攻擊,目標為竊取無人機(UAV)與精確制導導彈系統的敏感情報。本報告深入分析該攻擊的背景、技術細節、資安風險及其地緣政治背景,並提出防禦策略,強調配置管理和員工培訓在防範此類威脅中的關鍵作用。


攻擊背景與地緣政治動機

Patchwork被認為是印度支持的進階持續性威脅(APT)組織,自2015年12月首次被發現以來,主要針對南亞和東南亞目標,包括中國和巴基斯坦。此次攻擊聚焦土耳其國防承包商,特別是無人機和導彈系統製造商,與土耳其和巴基斯坦日益深化的國防合作,以及印度與巴基斯坦的近期軍事衝突高度相關。Arctic Wolf Labs指出,攻擊時機與2025年7月28日至29日在伊斯坦堡舉行的無人機系統會議吻合,顯示Patchwork利用會議主題作為誘餌,進行精心策劃的情報蒐集。這種地緣政治動機表明,竊取的情報可能用於影響區域軍事平衡,尤其是在印度-巴基斯坦-土耳其的三角關係中。


攻擊手法與技術細節

Patchwork的攻擊採用五階段執行鏈,通過偽裝成會議邀請的惡意Windows快捷方式(LNK)檔案發動魚叉式網路釣魚。以下為攻擊流程:
  1. 初始存取:駭客發送偽裝為「Unmanned_Vehicle_Systems_Conference_2025_In_Istanbul.lnk」的電子郵件,誘騙對無人機技術感興趣的國防專業人士點擊。
  2. 執行階段:LNK檔案執行後,調用PowerShell,通過Wget從Cloudflare保護的惡意域名(expouav[.]org)下載多個檔案,包括Pester.bat(PowerShell Pester測試框架的濫用腳本)。
  3. 防禦規避:使用VLC播放器的DLL側載技術、檔案副檔名操縱和計畫任務持久化,規避傳統防毒檢測。Pester.bat被歸類為「生存於地(LOLBAS)」工具,因其易被濫用而難以檢測。
  4. 命令與控制(C2):採用增強的C2協議,利用C標準庫的strtok()解析功能和CreateThread執行,實現與遠端C2伺服器的通訊。
  5. 情報收集:最終部署惡意軟體,竊取無人機和導彈系統的技術資料。
此次攻擊顯示Patchwork技術的進化,從x64 DLL架構轉向x86 PE架構,減少庫依賴性,提升隱蔽性。攻擊基礎設施自2025年6月開始準備,顯示其長期策劃特性。


Patchwork的歷史與特徵

Patchwork(又稱Operation Hangover、Zinc Emerson)以狹窄目標選擇和社會工程學攻擊聞名,過去針對中國大學、巴基斯坦政府及人權組織,使用EyeShell和BADNEWS等後門程式。2023年,Patchwork曾利用假聊天應用程式竊取南亞地區數據,並被Meta封禁50個相關帳戶。此次攻擊延續其模式,結合魚叉式網路釣魚和水坑攻擊,並與其他印度相關駭客團體(如SideWinder、DoNot Team)共享基礎設施和戰術,顯示潛在的運營聯繫。


資安風險

Patchwork的攻擊帶來以下風險:
  1. 數據洩露:無人機和導彈技術情報可能被竊取,影響土耳其國防安全。
  2. 供應鏈威脅:惡意LNK檔案可能滲透國防企業供應鏈,影響合作夥伴。
  3. 持久性威脅:計畫任務和DLL側載技術使惡意軟體難以檢測和移除。
  4. 地緣政治影響:竊取的情報可能改變區域軍事平衡,影響土耳其與巴基斯坦的合作。
  5. 員工意識不足:攻擊依賴用戶交互,凸顯員工安全意識的薄弱環節。


防禦建議

為應對Patchwork的攻擊,企業應採取以下措施:
  1. 加強員工培訓:開展釣魚攻擊模擬和安全意識培訓,教育員工辨識可疑郵件,尤其是來自外部來源或要求緊急行動的郵件。
  2. 實施組態管理:遵循NIST SP 800-53或ISO/IEC 27001標準,建立組態基準,定期稽核系統組態,防止未授權變更。確保LNK檔案和PowerShell腳本的執行受到限制。
  3. 部署進階檢測:使用端點檢測與回應(EDR)工具,監控LOLBAS工具(如Pester.bat)和異常網路流量,識別DLL側載和計畫任務活動。
  4. 修補漏洞:定期更新系統和應用程式,修補已知漏洞,防止駭客利用未修補的弱點。
  5. 網路分段:實施網路分段,限制惡意軟體的橫向移動,保護關鍵資產。
  6. 威脅情報共享:與行業和政府機構共享Patchwork的戰術、技術和程序(TTP)情報,增強集體防禦能力。
  7. 監控供應鏈:審查供應鏈合作夥伴的資安措施,確保其系統不受類似攻擊影響。


結論

Patchwork針對土耳其國防企業的魚叉式網路釣魚攻擊,顯示了國家級駭客組織如何利用地緣政治緊張局勢,通過社會工程學和技術進化的惡意軟體竊取戰略情報。其五階段執行鏈和隱蔽技術凸顯了現代網路威脅的複雜性。土耳其國防企業必須加強組態管理、員工培訓和進階檢測能力,以應對此類威脅。同時,地緣政治背景提醒企業需密切關注國際局勢對資安的影響。通過主動防禦和跨部門合作,企業可有效降低網路間諜活動的風險,保護關鍵技術資產。
 
資料來源:https://thehackernews.com/2025/07/patchwork-targets-turkish-defense-firms.html