印度相关的黑客组织 Patchwork 自 2015 年 12 月以来一直很活跃,主要通过鱼叉式网络钓鱼攻击针对巴基斯坦。在 2021 年 11 月底至 12 月初的最新活动中,Patchwork 利用恶意 RTF 文件投放了 BADNEWS(Ragnatela)远程管理木马(RAT)的一个变种。但有趣的是这次活动却误伤了他们自己,使得安全研究人员得以一窥它的基础架构。
本次活动首次将目标锁定在研究重点为分子医学和生物科学的几位教员身上。令人讽刺的是,攻击者利用自己的 RAT 感染了自己的电脑,从而让安全公司 Malwarebytes 收集到了他们电脑和虚拟机的按键和屏幕截图。
通过分析,Malwarebytes 认为本次活动是 BADNEWS RAT 的一个新的变种,叫做 Ragnatela,通过鱼叉式网络钓鱼邮件传播给巴基斯坦的相关目标。Ragnatela 在意大利语中意为蜘蛛网,也是 Patchwork APT 使用的项目名称和面板。
在本次活动,当用户点击这些恶意 RTF 文档之后,就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序,它会以 OLE 对象存储在 RTF 文件中。在设备感染之后,它会和外部的 C&C 服务器建立连接,具备执行远程命令、截取屏幕、记录按键、收集设备上所有档案清单、在特定时间里执行指定程序、上传或者下载恶意程序等等。
Ragnatela RAT 是在 11 月下旬开发的,如其程序数据库 (PDB) 路径 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示,并被用于网络间谍活动。
Ragnatela RAT 允许威胁参与者执行恶意操作,例如:
- 通过 cmd 执行命令
- 屏幕截图
- 记录键盘按键
- 收集受害者机器中所有文件的列表
- 在特定时间段收集受害者机器中正在运行的应用程序列表
- 下载附加有效载荷
- 上传文件
为了向受害者分发RAT,Patchwork用冒充巴基斯坦当局的文件引诱他们。例如,一个名为 EOIForm.rtf 的文件被威胁者上传到他们自己的服务器 karachidha[.]org/docs/。该文件包含一个漏洞(Microsoft Equation Editor),其目的是破坏受害者的计算机并执行最终的有效载荷(RAT)。
不过,Malwarebytes 发现 Patchwork 自己也感染了 Ragnatela。通过 RAT,研究人员发现了该组织开发的基础框架,包括跑Virtual Box、VMware作为Web开发及测试环境,其主机有英文及印度文双键盘配置、以及尚未更新Java程式等。此外他们使用虚拟专用网络 Secure及CyberGhost来隐藏其IP位址,并透过虚拟专用网络登入以RAT窃得的受害者电子邮件及其他帐号。
