安全|黑客组织Patchwork感染自己开发的恶意程序 导致内部系统被曝光
印度相关的黑客组织 Patchwork 自 2015 年 12 月以来一直很活跃,主要通过鱼叉式网络钓鱼攻击针对巴基斯坦 。在 2021 年 11 月底至 12 月初的最新活动中,Patchwork 利用恶意 RTF 文件投放了 BADNEWS(Ragnatela)远程管理木马(RAT)的一个变种 。但有趣的是这次活动却误伤了他们自己,使得安全研究人员得以一窥它的基础架构 。
文章图片
本次活动首次将目标锁定在研究重点为分子医学和生物科学的几位教员身上 。令人讽刺的是,攻击者利用自己的 RAT 感染了自己的电脑,从而让安全公司 Malwarebytes 收集到了他们电脑和虚拟机的按键和屏幕截图 。
通过分析,Malwarebytes 认为本次活动是 BADNEWS RAT 的一个新的变种,叫做 Ragnatela,通过鱼叉式网络钓鱼邮件传播给巴基斯坦的相关目标 。Ragnatela 在意大利语中意为蜘蛛网,也是 Patchwork APT 使用的项目名称和面板 。
文章图片
在本次活动,当用户点击这些恶意 RTF 文档之后,就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序,它会以 OLE 对象存储在 RTF 文件中 。在设备感染之后,它会和外部的 C&C 服务器建立连接,具备执行远程命令、截取屏幕、记录按键、收集设备上所有档案清单、在特定时间里执行指定程序、上传或者下载恶意程序等等 。
Ragnatela RAT 是在 11 月下旬开发的,如其程序数据库 (PDB) 路径 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示,并被用于网络间谍活动 。
Ragnatela RAT 允许威胁参与者执行恶意操作,例如:
● 通过 cmd 执行命令为了向受害者分发RAT,Patchwork用冒充巴基斯坦当局的文件引诱他们 。例如,一个名为 EOIForm.rtf 的文件被威胁者上传到他们自己的服务器 karachidha[.]org/docs/ 。该文件包含一个漏洞(Microsoft Equation Editor),其目的是破坏受害者的计算机并执行最终的有效载荷(RAT) 。
● 屏幕截图
● 记录键盘按键
● 收集受害者机器中所有文件的列表
● 在特定时间段收集受害者机器中正在运行的应用程序列表
● 下载附加有效载荷
● 上传文件
文章图片
文章图片
推荐阅读
- 安全|温州一超市遭“比特币勒索病毒”攻击,储值系统瘫痪
- 架构|一“融”解千愁,SASE因何成为未来网络安全的新范式?
- 安全|杀毒软件诺顿360自带挖矿功能被批 厦门大学示警:慎重使用
- mp|【邀请函】网络安全渗透测试培训课程等你来!
- 新浪科技综合|世卫组织:奥密克戎毒株正迅速取代其他毒株成为主要流行毒株
- 第一财经|一加并入OPPO半年后 完成中国区组织架构调整
- Apple|新专利或将助苹果零售店通过新安全措施来阻止抢劫行为的发生
- 功能|微软发布 Win11 KB5009566 累积更新:修复多项安全问题
- 新浪数码|为了让零售店更安全 苹果研发展示品防盗抢专利
- 安全|Check Point安全报告显示去年企业受到的总体网络攻击量有明显增加