与印度有关的 Patchwork APT 感染了自己的系统,暴露了其操作
在最近的一次活动中,一名与印度有关的威胁行为者被追踪为 Patchwork(又名 Dropping Elephant),他使用了 BADNEWS 后门的新变体,称为 Ragnatela(意大利语中的“蜘蛛网”)。然而,该组织在使用 RAT 感染其基础设施后成为头条新闻,允许研究人员分析其操作。
APT 组织至少从 2015 年开始就一直活跃, 之前的行动针对世界各地的军事和政治个人,它对巴基斯坦的组织表现出特别的兴趣。
2021 年底,Malwarebytes 研究人员观察到 APT 小组针对的是研究重点是分子医学和生物科学的教职员工。
在最近的一次活动中,Patchwork 小组使用武器化的 RTF 文件进行了鱼叉式网络钓鱼活动,以删除 BADNEWS (Ragnatela) 远程管理木马 (RAT) 的变种。恶意 RTF 文件冒充巴基斯坦当局并利用 Microsoft 公式编辑器中的漏洞来传递和执行最终有效负载 (RAT)。Malwarebytes 研究人员报告说,该有效负载作为 OLE 对象存储在 RTF 文档中。
Ragnatela RAT 是在 11 月下旬开发的,如其程序数据库 (PDB) 路径 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitetest.pdb”所示,并被用于网络间谍活动。
Ragnatela RAT 允许威胁参与者执行恶意操作,例如:
- 通过 cmd 执行命令
- 捕获屏幕截图
- 记录击键
- 收集受害者机器中所有文件的列表
- 在特定时间段收集受害者机器中正在运行的应用程序列表
- 击倒附加有效载荷
- 上传文件
此次活动的受害者名单包括巴基斯坦国防部、伊斯兰阿巴德国防大学、UVAS 大学(巴基斯坦拉合尔)生物科学学院、国际化学和生物科学中心、 HEJ化学研究所,国际化学与生物科学中心,卡拉奇舒大学,分子医学。
“另一个——无意的——受害者是威胁参与者本人,他似乎已经感染了自己的 RAT 开发机器。我们可以看到他们同时运行 VirtualBox 和 VMware 来进行 Web 开发和测试。他们的主机拥有双键盘布局(英语和印度语)。” 阅读Malwarebytes 发布的报告。
“由于攻击者自己的恶意软件捕获的数据,我们能够更好地了解谁坐在键盘后面。该组织利用虚拟机和 VPN 来开发、推送更新和检查受害者。与其他一些东亚 APT 一样,Patchwork 不像俄罗斯和朝鲜的同行那样复杂。”
