在 Cyble Research and Intelligence Labs (CRIL) 的一份新报告中,臭名昭著的 Patchwork APT 组织通过部署“Nexe”后门的复杂活动再次展示了其网络间谍实力。该组织也被称为 Falling Elephant,自 2009 年以来一直活跃,专注于知名组织,包括政府、国防和外交实体,尤其是在南亚和东南亚。
CRIL 于 2024 年 7 月确定的最新活动似乎针对中国实体,特别关注航空航天、技术研究和政府部门。这并不奇怪,因为 Patchwork 长期以来一直与针对地缘政治对手的网络间谍活动有关。该活动以第七届中国商飞国际科技创新周为中心,使用了一个伪装成标题为“COMAC_Technology_Innovation.pdf.lnk”的 PDF 文档的恶意 LNK 文件。这个诱饵利用一个备受瞩目的事件来欺骗受害者执行恶意负载。
该活动的核心是启动感染的 LNK 文件。打开后,该文件将运行 PowerShell 脚本,下载两个组件:一个看起来合法的 PDF 以分散用户的注意力,以及一个用于执行攻击的恶意动态链接库 (DLL)。Patchwork 采用 DLL 旁加载,这是一种利用合法系统文件(在本例中为“WerFaultSecure.exe”)来执行恶意 DLL 而不会引起怀疑的技术。
加载恶意 DLL 后,它会解密并执行隐藏的 shellcode,修改 AMSIscanBuffer 和 ETWEventWrite 等关键 API 以绕过检测系统。这允许恶意软件在受感染的系统内秘密运行,避开通常会标记此类行为的防病毒和安全解决方案。
该活动的目的是 Nexe 后门,这是一种展示 Patchwork 集团持续发展的新变体。该恶意软件旨在从受害者的机器上收集敏感的系统信息,包括进程 ID、公共和私有 IP 地址、用户名和其他关键数据。收集数据后,使用 Salsa20 算法对其进行加密,使用 Base64 编码进一步混淆,然后传输到该组的命令和控制 (C2) 服务器。
Nexe 融入受害者系统的能力是其最危险的功能之一。通过使用合法的系统工具和 DLL 旁加载,恶意软件能够在后台运行,在逃避检测的同时窃取数据。后门还利用多层加密和内存驻留有效负载执行来确保持久性和隐身性,使攻击者能够保持对受感染系统的长期访问。
Patchwork APT 小组在本次活动中使用内存补丁的做法特别值得注意。通过操纵 AMSI 和 ETW API,该恶意软件有效地禁用了 Windows 的内置安全机制,这些机制旨在检测和阻止恶意脚本和进程。这种方法确保恶意软件可以在内存中执行而不会被常见的防病毒程序检测到,从而允许 Patchwork 在受害者的机器上长时间保持立足点。