印度相關(guān)的黑客組織 Patchwork 自 2015 年 12 月以來一直很活躍，主要通過魚叉式網(wǎng)絡(luò)釣魚攻擊針對(duì)巴基斯坦。在 2021 年 11 月底至 12 月初的最新活動(dòng)中，Patchwork 利用惡意 RTF 文件投放了 BADNEWS（Ragnatela）遠(yuǎn)程管理木馬（RAT）的一個(gè)變種。 但有趣的是這次活動(dòng)卻誤傷了他們自己，使得安全研究人員得以一窺它的基礎(chǔ)架構(gòu)。

本次活動(dòng)首次將目標(biāo)鎖定在研究重點(diǎn)為分子醫(yī)學(xué)和生物科學(xué)的幾位教員身上。令人諷刺的是，攻擊者利用自己的 RAT 感染了自己的電腦，從而讓安全公司 Malwarebytes 收集到了他們電腦和虛擬機(jī)的按鍵和屏幕截圖。

通過分析，Malwarebytes 認(rèn)為本次活動(dòng)是 BADNEWS RAT 的一個(gè)新的變種，叫做 Ragnatela，通過魚叉式網(wǎng)絡(luò)釣魚郵件傳播給巴基斯坦的相關(guān)目標(biāo)。Ragnatela 在意大利語中意為蜘蛛網(wǎng)，也是 Patchwork APT 使用的項(xiàng)目名稱和面板。

在本次活動(dòng)，當(dāng)用戶點(diǎn)擊這些惡意 RTF 文檔之后，就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序，它會(huì)以 OLE 對(duì)象存儲(chǔ)在 RTF 文件中。在設(shè)備感染之后，它會(huì)和外部的 C&C 服務(wù)器建立連接，具備執(zhí)行遠(yuǎn)程命令、截取屏幕、記錄按鍵、收集設(shè)備上所有檔案清單、在特定時(shí)間里執(zhí)行指定程序、上傳或者下載惡意程序等等。

不過，Malwarebytes 發(fā)現(xiàn) Patchwork 自己也感染了 Ragnatela。通過 RAT，研究人員發(fā)現(xiàn)了該組織開發(fā)的基礎(chǔ)框架，包括跑Virtual Box、VMware作為Web開發(fā)及測試環(huán)境，其主機(jī)有英文及印度文雙鍵盤配置、以及尚未更新Java程式等。此外他們使用VPN Secure及CyberGhost來隱藏其IP位址，并透過VPN登入以RAT竊得的受害者電子郵件及其他帳號(hào)。

【來源：cnBeta.COM】

關(guān)鍵詞： 黑客 惡意程序 組織