印度的有关的黑客联盟 Patchwork 自 2015 年 12 月至今一直很活跃性,关键根据鱼叉式互联网中间人攻击对于巴基斯坦。在 2021 年 11 月底至 12 月初的全新活动中,Patchwork 利用故意 RTF 文档推广了 BADNEWS(Ragnatela)远程管理木马病毒(RAT)的一个变种。但有意思的是此次活动却弄伤了他们自己,促使安全性科研工作人员得到一窥它的基础架构。
此次活动初次将总体目标锁住在科学研究主要为分子结构医药学和生物技术专业的几个老师的身上。让人讥讽的是,网络攻击利用自身的 RAT 感染了自己的计算机,进而让安全性企业 Malwarebytes 搜集到了她们计算机和vm虚拟机的按钮和屏幕截屏。
根据剖析,Malwarebytes 觉得此次活动是 BADNEWS RAT 的一个新的变种,称为 Ragnatela,根据鱼叉式互联网钓鱼邮件散播给巴基斯坦的有关总体目标。Ragnatela 在意大利文钟意为蛛网,也是 Patchwork APT 应用的项目规划和控制面板。
在此次活动,当客户点一下这种故意 RTF 文本文档以后,就可以利用 Microsoft Equation Editor 中的系统漏洞嵌入 RAT 程序流程,它会以 OLE 阿里云oss在 RTF 文档中。在机器设备感柒以后,它会和外界的 C&C 网络服务器创建联接,具有实行远程连接命令、提取显示屏、纪录功能键、搜集机器设备上全部档案资料明细、在指定時间里实行特定程序流程、提交或是免费下载木马程序这些。
Ragnatela RAT 是在 11 月中旬开发设计的,与其程序流程数据库查询 (PDB) 途径 “E:\new_ops\jlitest ._change_ops -29no – Copy\Release\jlitest.pdb” 所显示,并被用作互联网特工活动。
Ragnatela RAT 容许危害参加者实行故意实际操作,例如:
- 根据 cmd 运行命令
- 屏幕截屏
- 纪录键盘键位
- 搜集受害人设备中各个材料的目录
- 在指定时间范围搜集受害人设备中已经运作的应用软件目录
- 免费下载额外有效载荷
- 文件上传
为了更好地向受害人派发RAT,Patchwork用假冒巴基斯坦政府的文档诱惑她们。例如,一个名叫 EOIForm.rtf 的资料被危害者上传入他们自己的网络服务器 karachidha[.]org/docs/。该文件包含一个系统漏洞(Microsoft Equation Editor),其目的是毁坏受害人的电脑并实行最后的有效载荷(RAT)。
但是,Malwarebytes 发觉 Patchwork 自身也感染了 Ragnatela。根据 RAT,科学研究工作人员发觉了该机构开发设计的基本架构,包含跑Virtual Box、VMware做为Web开发设计及接口测试,其服务器有英文及印度文双电脑键盘配备、及其并未升级Java程序等。除此之外她们应用虚拟专用网Secure及CyberGhost来掩藏其IP位署,并通过虚拟专用网登陆以RAT窃得的受害人电子邮箱以及他账号。