小百科,大世界
首页 / 计算机 / IT资讯

[1]Patchwork APT 的 Nexe 后门活动曝光 繁體

在 Cyble Research and Intelligence Labs (CRIL) 的一份新报告中,臭名昭著的 Patchwork APT 组织通过部署“Nexe”后门的复杂活动再次展示了其网络间谍实力。该组织也被称为 Falling Elephant,自 2009 年以来一直活跃,专注于知名组织,包括政府、国防和外交实体,尤其是在南亚和东南亚。

CRIL 于 2024 年 7 月确定的最新活动似乎针对中国实体,特别关注航空航天、技术研究和政府部门。这并不奇怪,因为 Patchwork 长期以来一直与针对地缘政治对手的网络间谍活动有关。该活动以第七届中国商飞国际科技创新周为中心,使用了一个伪装成标题为“COMAC_Technology_Innovation.pdf.lnk”的 PDF 文档的恶意 LNK 文件。这个诱饵利用一个备受瞩目的事件来欺骗受害者执行恶意负载。

该活动的核心是启动感染的 LNK 文件。打开后,该文件将运行 PowerShell 脚本,下载两个组件:一个看起来合法的 PDF 以分散用户的注意力,以及一个用于执行攻击的恶意动态链接库 (DLL)。Patchwork 采用 DLL 旁加载,这是一种利用合法系统文件(在本例中为“WerFaultSecure.exe”)来执行恶意 DLL 而不会引起怀疑的技术。

加载恶意 DLL 后,它会解密并执行隐藏的 shellcode,修改 AMSIscanBuffer 和 ETWEventWrite 等关键 API 以绕过检测系统。这允许恶意软件在受感染的系统内秘密运行,避开通常会标记此类行为的防病毒和安全解决方案。

该活动的目的是 Nexe 后门,这是一种展示 Patchwork 集团持续发展的新变体。该恶意软件旨在从受害者的机器上收集敏感的系统信息,包括进程 ID、公共和私有 IP 地址、用户名和其他关键数据。收集数据后,使用 Salsa20 算法对其进行加密,使用 Base64 编码进一步混淆,然后传输到该组的命令和控制 (C2) 服务器。

Nexe 融入受害者系统的能力是其最危险的功能之一。通过使用合法的系统工具和 DLL 旁加载,恶意软件能够在后台运行,在逃避检测的同时窃取数据。后门还利用多层加密和内存驻留有效负载执行来确保持久性和隐身性,使攻击者能够保持对受感染系统的长期访问。

Patchwork APT 小组在本次活动中使用内存补丁的做法特别值得注意。通过操纵 AMSI 和 ETW API,该恶意软件有效地禁用了 Windows 的内置安全机制,这些机制旨在检测和阻止恶意脚本和进程。这种方法确保恶意软件可以在内存中执行而不会被常见的防病毒程序检测到,从而允许 Patchwork 在受害者的机器上长时间保持立足点。

本文翻译自securityonline 原文链接。如若转载请注明出处。
商务合作,文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载,请参考转载声明,注明出处: /post/id/300549

安全客 - 有思想的安全新媒体

[来源: 安全客]

首页 / 计算机 / IT资讯
相关连接:
Prev:
7对科威特卫生部的网络攻击影响了该国的医院
8新型漏洞利用链允许绕过Windows用户账户控制UAC
0严重的GiveWP漏洞CVE20248353影响10万WordPress网站
Next:
2用户在一次复杂的钓鱼攻击中损失了价值3200万美元的spWETH
3车牌信息成安全漏洞起亚汽车远程控制风险揭示联网车辆网络安全问题
5解读SEC网络安全披露新规8K与10K申报指南及企业应对策略
6Microsoft 将 Storm0501 确定为混合云勒索软件攻击中的主要威胁
7新的 HTML 走私活动向讲俄语的用户提供 DCRat 恶意软件
资源来自网络,仅供参考