في عالم الأمن السيبراني، تتزايد التهديدات من مجموعات الهاكرز المدعومة من الدول. واحدة من هذه المجموعات هي Patchwork، التي تستهدف الآن الشركات الدفاعية التركية.
حملة تصيد تستهدف الشركات الدفاعية التركية
تمت نسبة الفاعل المعروف باسم Patchwork إلى حملة جديدة من التصيد تستهدف المقاولين الدفاعيين الأتراك بهدف جمع معلومات استراتيجية.
تفاصيل الحملة
تستخدم الحملة سلسلة تنفيذ من خمس مراحل يتم تسليمها عبر ملفات LNK خبيثة مت disguised كدعوات لمؤتمرات أُرسلت إلى الأهداف المهتمة بالتعرف على أنظمة المركبات غير المأهولة، وفقًا لتقرير تقني نشرته Arctic Wolf Labs هذا الأسبوع.
تبدو هذه الأنشطة مدفوعة بالاعتبارات الجيوسياسية، حيث تتزامن مع تعميق التعاون الدفاعي بين باكستان وتركيا، والاشتباكات العسكرية الأخيرة بين الهند وباكستان.
خلفية عن Patchwork
تُعرف مجموعة Patchwork أيضًا بأسماء أخرى مثل APT-C-09 وAPT-Q-36 وChinastrats وDropping Elephant وOperation Hangover وQuilted Tiger وZinc Emerson، وتُعتبر فاعلًا مدعومًا من الدولة الهندية. تُعرف المجموعة بنشاطها منذ عام 2009، ولها سجل حافل في استهداف الكيانات في الصين وباكستان ودول أخرى في جنوب آسيا.
قبل عام، وثقت مجموعة Knownsec 404 استهداف Patchwork للكيانات المرتبطة ببوتان لتسليم إطار عمل Brute Ratel C4 وإصدار محدث من باب خلفي يُدعى PGoShell.
منذ بداية عام 2025، تم ربط الفاعل بعمليات متعددة تستهدف الجامعات الصينية، مع استخدام طُعم يتعلق بشبكات الطاقة في البلاد لتسليم محمل مبني بلغة Rust، والذي بدوره يقوم بفك تشفير وإطلاق حصان طروادة مكتوب بلغة C# يُدعى Protego لجمع مجموعة واسعة من المعلومات من الأنظمة المُخترقة.
التقنيات المستخدمة
تشير التقارير إلى أن استهداف تركيا من قبل مجموعة الهاكرز يشير إلى توسيع نطاق استهدافها، باستخدام ملفات LNK خبيثة يتم توزيعها عبر رسائل البريد الإلكتروني الاحتيالية كنقطة انطلاق لبدء عملية العدوى متعددة المراحل.
تُصمم ملفات LNK لاستدعاء أوامر PowerShell المسؤولة عن جلب حمولات إضافية من خادم خارجي (“expouav[.]org”)، وهو نطاق تم إنشاؤه في 25 يونيو 2025، والذي يستضيف طُعم PDF يُحاكي مؤتمرًا دوليًا حول أنظمة المركبات غير المأهولة، وتفاصيله مستضافة على موقع waset[.]org الشرعي.
“يعمل مستند PDF كطُعم بصري، مصمم لتشتيت انتباه المستخدم بينما تعمل بقية سلسلة التنفيذ بصمت في الخلفية،” كما ذكرت Arctic Wolf. “يحدث هذا الاستهداف بينما تسيطر تركيا على 65% من سوق تصدير الطائرات بدون طيار العالمية وتطور قدرات صاروخية حرارية حرجة، بينما تعزز في الوقت نفسه الروابط الدفاعية مع باكستان خلال فترة من التوترات المتزايدة بين الهند وباكستان.”
تطورات جديدة
من بين العناصر التي تم تحميلها، يوجد DLL خبيث يتم إطلاقه باستخدام تقنية تحميل DLL الجانبي عبر مهمة مجدولة، مما يؤدي في النهاية إلى تنفيذ شيفرة تقوم بإجراء استكشاف شامل للجهاز المُخترق، بما في ذلك التقاط لقطات شاشة، وإرسال التفاصيل مرة أخرى إلى الخادم.
“يمثل هذا تطورًا كبيرًا في قدرات هذا الفاعل، حيث انتقل من متغيرات DLL x64 التي لوحظت في نوفمبر 2024، إلى تنسيقات PE x86 الحالية مع هياكل أوامر محسنة،” كما قالت الشركة. “تظهر Dropping Elephant استثمارًا تشغيليًا مستمرًا وتطويرًا من خلال تنويع الهيكل من DLL x64 إلى تنسيقات PE x86، وتنفيذ بروتوكولات C2 محسنة من خلال انتحال مواقع الويب الشرعية.”
رابط للمقالة الأصلية: هنا
مع تزايد هذه التهديدات، من الضروري أن تكون الشركات على دراية بأساليب الهجوم المتطورة التي تستخدمها هذه المجموعات. يجب أن تبقى المؤسسات مستعدة وتقوم بتعزيز دفاعاتها السيبرانية.
