近日,知名网络安全研究机构发布报告,揭示了一个名为Patchwork的高级持续威胁(APT)组织针对土耳其防务承包商实施的一项新型网络攻击行动。此次行动突出表现为利用伪装成无人系统国际会议邀请的恶意Windows快捷方式(LNK)文件,通过精准钓鱼邮件的方式进行攻击,旨在窃取土耳其防务领域的战略情报。Patchwork,也被称为APT-C-09、APT-Q-36、Chinastrats以及Dropping Elephant等多种代号,长期以来被安全界认定为一个拥有国家背景、起源于印度的威胁组织。该组织活跃时间至少可追溯至2009年,惯用的攻击目标主要聚焦于中国、巴基斯坦及南亚其他国家和地区的关键基础设施和政府机构。此次将攻击重心扩展至土耳其,表明其针对防务科技领域的兴趣持续上升,而行动发生的时间正值印度与巴基斯坦军事紧张状态加剧、且巴基斯坦与土耳其国防合作日益深化之时,极具明显的地缘政治意义。攻击链的关键入口是通过邮件发送带有恶意LNK文件的钓鱼邀约。
此类文件伪装成与国际无人车辆系统会议相关的邀请函,诱使目标点击。点击后,LNK文件内嵌的PowerShell命令会悄然从攻击者所搭建的远程服务器(注册于2025年6月下旬的expouav[.]org)下载并执行后续恶意负载。为了增强欺骗效果,攻击者还制作了一个逼真的PDF文件作为视觉诱饵。该文件内容与国际无人会议相关,并引用了真实会议主办方网站waset[.]org上的部分资料,以降低嫌疑和提升邮件的可信度。执行过程中,初始的恶意代码会通过DLL侧加载技术启动,配合计划任务触发一系列后续操作。这些操作包括植入恶意DLL文件,触发shell码执行,对感染机器进行全方位侦察,比如截屏、收集系统信息及用户活动数据,最终将收集到的情报回传至攻击服务器。
值得注意的是,该威胁组织的技术能力在此次攻击中展现出显著进化。相较于2024年11月发现的x64位DLL变体,此次使用的恶意PE文件为x86架构,且指挥控制协议更加复杂,通过模拟合法网站流量强化隐蔽性。此外,安全分析人员还发现Patchwork与另一个名为DoNot Team(APT-Q-38甚至别名Bellyworm)的威胁组织可能存在基础设施上的重叠,暗示这两者之间或存在协同作战或关联交叉。这意味着攻防双方面临的是一个不断调整策略和工具库的高度专业化团队。土耳其在全球无人机出口市场占据65%的份额,同时自主研发包括高超音速导弹在内的尖端武器系统,使其成为区域内防务技术的关键玩家。Patchwork针对这一市场领导者发起攻击,可视为获取先进军事技术数据、掌握战略优势的典型行为。
由于无人机和导弹技术在现代战争中的重要性,任何情报泄露都有可能影响国家安全和国际军事平衡。除地缘政治影响外,从网络安全角度看,此次攻击再一次强调了传统防御措施的不足。恶意LNK文件利用Windows系统固有的文件快捷方式功能,结合PowerShell脚本进行隐蔽传播,是典型的社会工程学与高级技术手段混合使用案例。许多安全方案对附件扫描多集中在常见文档格式如PDF、Word、Excel等,而忽视了快捷方式文件的潜在风险,给攻击者留下可乘之机。为此,土耳其防务企业乃至全球相关机构亟需加强对邮件附件的严格管控,提升对可疑文件的自动识别和动态分析能力。基于行为的检测机制及终端响应措施同样不可或缺,有助于在早期识别恶意LNK文件触发的异常PowerShell活动。
另一方面,加大员工安全意识培训力度,普及钓鱼邮件识别技巧,是防范此类社会工程攻击的基础。此次事件同时提醒安全研究人员应密切关注Patchwork组织未来动向。随着其近年攻击手法的多样化和复杂化,防御者必须建立多层次、多维度的安全防御体系,加强跨国情报共享与协作。特别是在当前国际政治局势动荡的大环境下,网络空间作为新兴战场的意义日益凸显,攻击可能进一步升级甚至对实体安全造成威胁。综合来看,Patchwork针对土耳其防务市场的钓鱼攻击行动,标志着该组织在技术和战术上的再升级。其通过恶意LNK文件引入多阶段感染链,高效隐秘开展战略情报采集,充分利用了电邮钓鱼的社会工程优势及Windows系统的固有特性。
防务机构与相关企业必须高度警惕,利用最新安全技术解决方案,结合严格的制度管理和培训机制,从而有效应对日益复杂的网络威胁。与此同时,国际社会也需要增强协作,共同打击此类具备国家背景的持续性网络攻击,维护网络空间的安全稳定和全球防务技术的公正竞争环境。
