印度相關(guān)的黑客組織 Patchwork 自 2015 年 12 月以來一直很活躍,主要通過魚叉式網(wǎng)絡(luò)釣魚攻擊針對(duì)巴基斯坦。在 2021 年 11 月底至 12 月初的最新活動(dòng)中,Patchwork 利用惡意 RTF 文件投放了 BADNEWS(Ragnatela)遠(yuǎn)程管理木馬(RAT)的一個(gè)變種。但有趣的是這次活動(dòng)卻誤傷了他們自己,使得安全研究人員得以一窺它的基礎(chǔ)架構(gòu)。
本次活動(dòng)首次將目標(biāo)鎖定在研究重點(diǎn)為分子醫(yī)學(xué)和生物科學(xué)的幾位教員身上。令人諷刺的是,攻擊者利用自己的 RAT 感染了自己的電腦,從而讓安全公司 Malwarebytes 收集到了他們電腦和虛擬機(jī)的按鍵和屏幕截圖。
通過分析,Malwarebytes 認(rèn)為本次活動(dòng)是 BADNEWS RAT 的一個(gè)新的變種,叫做 Ragnatela,通過魚叉式網(wǎng)絡(luò)釣魚郵件傳播給巴基斯坦的相關(guān)目標(biāo)。Ragnatela 在意大利語中意為蜘蛛網(wǎng),也是 Patchwork APT 使用的項(xiàng)目名稱和面板。
在本次活動(dòng),當(dāng)用戶點(diǎn)擊這些惡意 RTF 文檔之后,就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序,它會(huì)以 OLE 對(duì)象存儲(chǔ)在 RTF 文件中。在設(shè)備感染之后,它會(huì)和外部的 C&C 服務(wù)器建立連接,具備執(zhí)行遠(yuǎn)程命令、截取屏幕、記錄按鍵、收集設(shè)備上所有檔案清單、在特定時(shí)間里執(zhí)行指定程序、上傳或者下載惡意程序等等。
Ragnatela RAT 是在 11 月下旬開發(fā)的,如其程序數(shù)據(jù)庫 (PDB) 路徑 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示,并被用于網(wǎng)絡(luò)間諜活動(dòng)。
Ragnatela RAT 允許威脅參與者執(zhí)行惡意操作,例如:
● 通過 cmd 執(zhí)行命令
● 屏幕截圖
● 記錄鍵盤按鍵
● 收集受害者機(jī)器中所有文件的列表
● 在特定時(shí)間段收集受害者機(jī)器中正在運(yùn)行的應(yīng)用程序列表
● 下載附加有效載荷
● 上傳文件
為了向受害者分發(fā)RAT,Patchwork用冒充巴基斯坦當(dāng)局的文件引誘他們。例如,一個(gè)名為 EOIForm.rtf 的文件被威脅者上傳到他們自己的服務(wù)器 karachidha[.]org/docs/。該文件包含一個(gè)漏洞(Microsoft Equation Editor),其目的是破壞受害者的計(jì)算機(jī)并執(zhí)行最終的有效載荷(RAT)。
不過,Malwarebytes 發(fā)現(xiàn) Patchwork 自己也感染了 Ragnatela。通過 RAT,研究人員發(fā)現(xiàn)了該組織開發(fā)的基礎(chǔ)框架,包括跑Virtual Box、VMware作為Web開發(fā)及測(cè)試環(huán)境,其主機(jī)有英文及印度文雙鍵盤配置、以及尚未更新Java程式等。此外他們使用VPN Secure及CyberGhost來隱藏其IP位址,并透過VPN登入以RAT竊得的受害者電子郵件及其他帳號(hào)。
文章轉(zhuǎn)載自cnBeta.COM