印度相關的黑客組織 Patchwork 自 2015 年 12 月以來一直很活躍,主要通過魚叉式網絡釣魚攻擊針對巴基斯坦。在 2021 年 11 月底至 12 月初的最新活動中,Patchwork 利用惡意 RTF 文件投放了 BADNEWS(Ragnatela)遠程管理木馬(RAT)的一個變種。但有趣的是這次活動卻誤傷了他們自己,使得安全研究人員得以一窺它的基礎架構。
本次活動首次將目標鎖定在研究重點為分子醫學和生物科學的幾位教員身上。令人諷刺的是,攻擊者利用自己的 RAT 感染了自己的電腦,從而讓安全公司 Malwarebytes 收集到了他們電腦和虛擬機的按鍵和屏幕截圖。
通過分析,Malwarebytes 認為本次活動是 BADNEWS RAT 的一個新的變種,叫做 Ragnatela,通過魚叉式網絡釣魚郵件傳播給巴基斯坦的相關目標。Ragnatela 在意大利語中意為蜘蛛網,也是 Patchwork APT 使用的項目名稱和面板。
在本次活動,當用戶點擊這些惡意 RTF 文檔之後,就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序,它會以 OLE 對象存儲在 RTF 文件中。在設備感染之後,它會和外部的 C&C 服務器建立連接,具備執行遠程命令、截取屏幕、記錄按鍵、收集設備上所有檔案清單、在特定時間裡執行指定程序、上傳或者下載惡意程序等等。
Ragnatela RAT 是在 11 月下旬開發的,如其程序數據庫 (PDB) 路徑 “E:new_opsjlitest __change_ops -29no – CopyReleasejlitest.pdb” 所示,並被用於網絡間諜活動。
Ragnatela RAT 允許威脅參與者執行惡意操作,例如:
● 通過 cmd 執行命令
● 屏幕截圖
● 記錄鍵盤按鍵
● 收集受害者機器中所有文件的列表
● 在特定時間段收集受害者機器中正在運行的應用程序列表
● 下載附加有效載荷
● 上傳文件
為了向受害者分發RAT,Patchwork用冒充巴基斯坦當局的文件引誘他們。例如,一個名為 EOIForm.rtf 的文件被威脅者上傳到他們自己的服務器 karachidha[.]org/docs/。該文件包含一個漏洞(Microsoft Equation Editor),其目的是破壞受害者的計算機並執行最終的有效載荷(RAT)。
不過,Malwarebytes 發現 Patchwork 自己也感染了 Ragnatela。通過 RAT,研究人員發現了該組織開發的基礎框架,包括跑Virtual Box、VMware作為Web開發及測試環境,其主機有英文及印度文雙鍵盤配置、以及尚未更新Java程式等。此外他們使用VPN Secure及CyberGhost來隱藏其IP位址,並透過VPN登入以RAT竊得的受害者電子郵件及其他帳號。