黑客組織Patchwork感染自己開(kāi)發(fā)的惡意程序 導(dǎo)致內(nèi)部系統(tǒng)被曝光

印度相關(guān)的黑客組織 Patchwork 自 2015 年 12 月以來(lái)一直很活躍，主要通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊針對(duì)巴基斯坦。在 2021 年 11 月底至 12 月初的最新活動(dòng)中，Patchwork 利用惡意 RTF 文件投放了 BADNEWS（Ragnatela）遠(yuǎn)程管理木馬（RAT）的一個(gè)變種。但有趣的是這次活動(dòng)卻誤傷了他們自己，使得安全研究人員得以一窺它的基礎(chǔ)架構(gòu)。
本次活動(dòng)首次將目標(biāo)鎖定在研究重點(diǎn)為分子醫(yī)學(xué)和生物科學(xué)的幾位教員身上。令人諷刺的是，攻擊者利用自己的 RAT 感染了自己的電腦，從而讓安全公司 Malwarebytes 收集到了他們電腦和虛擬機(jī)的按鍵和屏幕截圖。
通過(guò)分析，Malwarebytes 認(rèn)為本次活動(dòng)是 BADNEWS RAT 的一個(gè)新的變種，叫做 Ragnatela，通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件傳播給巴基斯坦的相關(guān)目標(biāo)。Ragnatela 在意大利語(yǔ)中意為蜘蛛網(wǎng)，也是 Patchwork APT 使用的項(xiàng)目名稱和面板。
在本次活動(dòng)，當(dāng)用戶點(diǎn)擊這些惡意 RTF 文檔之后，就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序，它會(huì)以 OLE 對(duì)象存儲(chǔ)在 RTF 文件中。在設(shè)備感染之后，它會(huì)和外部的 C&C 服務(wù)器建立連接，具備執(zhí)行遠(yuǎn)程命令、截取屏幕、記錄按鍵、收集設(shè)備上所有檔案清單、在特定時(shí)間里執(zhí)行指定程序、上傳或者下載惡意程序等等。
Ragnatela RAT 是在 11 月下旬開(kāi)發(fā)的，如其程序數(shù)據(jù)庫(kù) (PDB) 路徑 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示，并被用于網(wǎng)絡(luò)間諜活動(dòng)。
Ragnatela RAT 允許威脅參與者執(zhí)行惡意操作，例如：
● 通過(guò) cmd 執(zhí)行命令
● 屏幕截圖
● 記錄鍵盤按鍵
● 收集受害者機(jī)器中所有文件的列表
● 在特定時(shí)間段收集受害者機(jī)器中正在運(yùn)行的應(yīng)用程序列表
● 下載附加有效載荷
● 上傳文件
為了向受害者分發(fā)RAT，Patchwork用冒充巴基斯坦當(dāng)局的文件引誘他們。例如，一個(gè)名為 EOIForm.rtf 的文件被威脅者上傳到他們自己的服務(wù)器 karachidha[.]org/docs/。該文件包含一個(gè)漏洞（Microsoft Equation Editor），其目的是破壞受害者的計(jì)算機(jī)并執(zhí)行最終的有效載荷（RAT）。
不過(guò)，Malwarebytes 發(fā)現(xiàn) Patchwork 自己也感染了 Ragnatela。通過(guò) RAT，研究人員發(fā)現(xiàn)了該組織開(kāi)發(fā)的基礎(chǔ)框架，包括跑Virtual Box、VMware作為Web開(kāi)發(fā)及測(cè)試環(huán)境，其主機(jī)有英文及印度文雙鍵盤配置、以及尚未更新Java程式等。此外他們使用VPN Secure及CyberGhost來(lái)隱藏其IP位址，并透過(guò)VPN登入以RAT竊得的受害者電子郵件及其他帳號(hào)。
文章轉(zhuǎn)載自cnBeta.COM