Patchwork是自 2015 年 12 月以来一直活跃的印度威胁参与者,通常通过鱼叉式网络钓鱼攻击以巴基斯坦为目标。在 2021 年 11 月下旬至 2021 年 12 月上旬的最近一次活动中,Patchwork 使用恶意 RTF 文件删除了 BADNEWS (Ragnatela) 远程管理木马 (RAT) 的变种。
这次最新活动的受害者中有趣的是,该演员首次针对几名研究重点为分子医学和生物科学的教职员工。
我们没有完全专注于受害者学,而是决定对这个 APT 有所了解。具有讽刺意味的是,我们收集的所有信息都是可能的,这要归功于攻击者用自己的 RAT 感染自己,从而捕获了他们自己的计算机和虚拟机的击键和屏幕截图。
我们确定了一种我们认为是名为 Ragnatela 的 BADNEWS RAT 的新变种,它通过鱼叉式网络钓鱼电子邮件分发给巴基斯坦感兴趣的目标。Ragnatela,意大利语中蜘蛛网的意思,也是Patchwork APT使用的项目名称和面板。
Patchwork 的 Ragnatela 面板Ragnatela RAT 是在 11 月下旬的某个时间构建的,如其程序数据库 (PDB) 路径“E:new_opsjlitest __change_ops -29no – CopyReleasejlitest.pdb”所示。它具有以下功能:
- 通过 cmd 执行命令
- 捕获屏幕截图
- 记录击键
- 收集受害者机器中所有文件的列表
- 在特定时间段收集受害者机器中正在运行的应用程序列表
- 击倒附加有效载荷
- 上传文件
Ragnatela 命令为了将 RAT 分发给受害者,Patchwork 用冒充巴基斯坦当局的文件引诱他们。例如,威胁参与者将名为 EOIForm.rtf 的文档上传到他们自己的服务器 karachidha[.]org/docs/。
威胁参与者登录到他们的 Web 控制面板该文件包含一个漏洞利用程序(Microsoft 公式编辑器),旨在破坏受害者的计算机并执行最终有效负载 (RAT)。
恶意文档触发漏洞利用该有效负载作为 OLE 对象存储在 RTF 文档中。我们可以根据源路径信息推断该文件是在 2021 年 12 月 9 日创建的。
包含 RAT 的 OLE 对象Ragnatela RAT 通过位于 bgre.kozow[.]com 的服务器与攻击者的基础设施进行通信。在启动此活动之前(11 月下旬),威胁参与者测试了他们的服务器是否已启动并正常运行。
攻击者键入 ping 命令的日志RAT (jli.dll) 也在 11 月下旬进行了测试,然后于 2021 年 12 月 9 日进行了最终编译,以及用于侧载它的 MicroScMgmt.exe。
正在编译的 RAT 的 DLL同样在 11 月下旬,我们可以看到攻击者在典型的受害机器上测试侧载。
威胁参与者测试 RAT结论
概述了 Patchwork APT 的最新活动。虽然他们继续使用相同的诱饵和 RAT,但该组织对一种新的目标表现出兴趣。事实上,这是我们第一次观察到针对分子医学和生物科学研究人员的 Patchwork。
该组织利用虚拟机和 VPN 来开发、推送更新和检查受害者。与其他一些东亚 APT 一样,Patchwork 并不像俄罗斯和朝鲜的同行那样复杂。
