Source: https://thehackernews.com/2025/07/patchwork-targets-turkish-defense-firms.html
🛡 概要
最近、パッチワークと呼ばれる脅威アクターがトルコの防衛請負業者を標的にした新たなスピアフィッシングキャンペーンを展開しています。この攻撃は、無人機システムに関心を持つターゲットに対して、会議の招待状を装った悪意のあるLNKファイルを通じて実行されます。攻撃の目的は、戦略的情報を収集することです。トルコとパキスタンの防衛協力が深まる中、この攻撃は地政学的な動機があると考えられています。
🔍 技術詳細
このキャンペーンは、悪意のあるLNKファイルを使用して、PowerShellコマンドを呼び出し、外部サーバーから追加のペイロードを取得します。具体的には、悪意のあるLNKファイルは「expouav[.]org」というドメインからPDF文書をダウンロードするように設計されています。このPDFは無人機システムに関する国際会議を模倣しており、ユーザーの注意を逸らすための視覚的な囮として機能します。最終的には、スケジュールされたタスクを使って悪意のあるDLLが起動され、シェルコードが実行され、スクリーンショットを取得し、情報を外部サーバーに送信します。
⚠ 影響
この攻撃は、トルコが世界のUAV輸出市場の65%を占めていることを背景に、国の防衛能力に深刻な影響を及ぼす可能性があります。特に、パキスタンとの防衛関係が強化されている状況下で、情報漏洩は国家安全保障にとって重大なリスクとなります。さらに、この攻撃は、パッチワークの能力の進化を示しており、従来のx64 DLL形式からx86 PE形式への移行が見られます。
🛠 対策
このようなスピアフィッシング攻撃から防御するためには、まずユーザー教育が不可欠です。疑わしいメールや添付ファイルを開かないように注意を促すことが重要です。また、最新のセキュリティパッチを適用し、アンチウイルスソフトウェアを導入することで、マルウェアの感染リスクを低減できます。さらに、ネットワークトラフィックの監視を強化し、不審なアクティビティを早期に発見する体制を整えることが求められます。
