印度相关黑客组织Patchwork自2015年12月开始活跃,主要针对巴基斯坦进行鱼叉式钓鱼攻击。在2021年11月底至12月初的最新活动中,Patchwork使用恶意RTF文件植入BADNEWS(Ragnatela)远程管理木马(RAT)的变体。但有趣的是,这次活动意外伤害了自己,让安全研究人员得以一窥其基础设施。该活动首次针对几位研究重点是分子医学和生物科学的教职员工。具有讽刺意味的是,攻击者用自己的RAT感染了自己的计算机,从而允许安全公司Malwarebytes收集他们计算机和虚拟机的击键和屏幕截图。Malwarebytes通过分析认为,此次活动是BADNEWSRAT的新变种,名为Ragnatela,通过鱼叉式钓鱼邮件传播到巴基斯坦相关目标。Ragnatela在意大利语中是蜘蛛网的意思,也是PatchworkAPT使用的项目名称和面板。在此次活动中,当用户点击这些恶意RTF文档时,可以利用MicrosoftEquationEditor中的漏洞植入RAT程序,RAT程序会以OLE对象的形式存储在RTF文件中。设备被感染后,会与外部C&C服务器建立连接,该服务器具有执行远程命令、截屏、记录击键、收集设备上所有文件的列表、在特定时间执行指定程序、上传或下载恶意程序等。RagnatelaRAT于11月下旬开发,如其程序数据库(PDB)路径“E:\new_ops\jlitest__change_ops-29no–Copy\Release\jlitest.pdb”所示,并用于网络间谍活动。RagnatelaRAT允许威胁参与者执行恶意操作,例如:通过cmd执行命令屏幕截图记录击键收集受害机器中所有文件的列表收集特定时间段内受害机器中正在运行的应用程序的列表下载额外的有效载荷上传文档为了将RAT分发给受害者,Patchwork用伪装成巴基斯坦当局的文件引诱他们。例如,威胁参与者将名为EOIForm.rtf的文件上传到他们自己的服务器karachidha[.]org/docs/。该文件包含一个旨在破坏受害者计算机并执行最终有效负载(RAT)的漏洞利用程序(Microsoft方程式编辑器)。然而,Malwarebytes发现Patchwork本身感染了Ragnatela。通过RAT,研究人员发现了该组织开发的基本框架,包括运行VirtualBox、VMware作为Web开发测试环境,其主机具有英文和印度语双键盘配置,以及未更新的Java程序。此外,他们使用VPNSecure和Cyber??Ghost来隐藏他们的IP地址,并通过VPN登录受害者的电子邮件和其他用RAT窃取的帐户。
