黑客组织Patchwork不幸感染自己开发的恶意程序
印度黑客组织Patchwork在2021年11月底至12月初发动的黑客攻击中,不幸被自己投放的BADNEWS变种木马感染。
据悉, Patchwork是印度民间黑客组织,从2015年12月至今一直保持活跃,主要通过鱼叉式网络钓鱼攻击巴基斯坦。
2021年11月底至12月初,该黑客组织利用恶意RTF文件投放了一个BADNEWS(Ragnatela)的远程管理木马(RAT)变种。
Malwarebytes的安全人员成功捕获了此次攻击,据悉,黑客利用了BADNEWS RAT的一个新变种,名为Ragnatela。
Ragnatela在意大利语中是蜘蛛网的意思,也是印度黑客组织Patchwork APT在攻击活动中所使用的项目名称和面板。
据悉 ,该黑客组织在此次攻击中主要是通过鱼叉式网络钓鱼邮件,将恶意RTF文档传播给巴基斯坦的既定攻击目标。
Malwarebytes的安全研究人员分析,Patchwork黑客组织此次的攻击目标为几位巴基斯坦分子医学和生物科学教员。
为了骗取信任和向受害者分发RAT木马,Patchwork黑客组织用冒充巴基斯坦当局的文件诱导既定目标人群点击邮件。
受害者遭遇钓鱼邮件攻击并点击这些恶意RTF文档后,木马就能利用Microsoft Equation Editor的漏洞植入RAT程序。
黑客利用该漏洞感染并破坏受害者的计算机并执行最终的有效载荷(RAT),木马病毒会以OLE对象存储在RTF文件中。
安全人员监控到,该木马会与黑客组织控制的外部C&C服务器建立连接,并将名为EOIForm.rtf 的文件上传至服务器。
安全研究人员发现该文件包含有一个Microsoft Equation Editor漏洞,Ragnatela RAT允许威胁参与者执行恶意操作。
安全研究人员分析,Ragnatela RAT具体的开发时间应该是在2021年11月下旬,之后便被黑客用于执行网络间谍活动。
该恶意程序在其服务器的数据库(PDB)路径为:E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb。
恶意行为包括执行远程命令、屏幕截取、按键记录、收集文件清单、定时执行指定程序、上传或者下载恶意程序等。
为何安全研究人员短期内对Ragnatela RAT了解的如此透彻呢?原因是该黑客组织自己也感染了Ragnatela木马病毒。
该黑客组织利用VPN Secure及CyberGhost来隐藏IP定位,并透过VPN登录RAT窃取到的受害者电子邮件及其他帐号。
通过RAT,安全人员发现了该组织开发的基础框架,包括利用Virtual Box、VMware等软件作为Web开发及测试环境。
安全人员在攻击者的电脑发现了英文及印度文双键盘配置及尚未更新Java程式等,并采集了屏幕截图和虚拟机按键。
说实在的,阿三哥这次误伤自己被当成了笑料,但其计算机方面的实力不容小觑,网络安全方面我们不能掉以轻心。