印度黑客组织的恶意程序感染了自己的开发主机
Patchwork 是 2015 年 12 月起活跃自今的一个印度黑客组织,主要对巴基斯坦的目标发动钓鱼攻击。安全研究人员从截图中意外发现了测试恶意程序的开发机,显示黑客在运行 VirtualBox 和 VMware 进行测试,测试主机使用的键盘为英语和印度语双键盘布局。黑客还使用 VPN Secure 和 CyberGhost 隐藏 IP 地址。
Patchwork是自 2015年12月以来一直活跃的印度威胁参与者,通常通过鱼叉式网络钓鱼攻击以巴基斯坦为目标。在 2021 年 11 月下旬至 2021 年 12 月上旬的最近一次活动中,Patchwork 使用恶意 RTF文件释放了一个BADNEWS (Ragnatela) 远程控制木马 (RAT) 的变种。这次最新活动的受害者中有趣的是,该参与者首次针对几名研究重点为分子医学和生物科学的教职员工。我们没有完全专注于受害者,而是决定对这个 APT 有所了解。具有讽刺意味的是,我们所搜集的所有信息都可能是要归功于攻击者用自己的 RAT 感染了自己,从而获取了他们自己的计算机和虚拟机的键盘记录和屏幕截图。
Ragnatela木马
我们确定了一种我们认为是名为 Ragnatela 的 BADNEWS RAT 的新变种,它通过鱼叉式网络钓鱼电子邮件分发给巴基斯坦感兴趣的目标。Ragnatela,意大利语中蜘蛛网的意思,也是Patchwork APT使用的项目名称和面板。
Ragnatela RAT 是在 11 月下旬的某个时候构建的,如其程序数据库 (PDB) 路径“E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb”所示。它具有以下功能:
- 通过 cmd 执行命令
- 捕获屏幕截图
- 键盘记录
- 收集受害者机器中所有文件的列表
- 在特定时间段收集受害者机器中正在运行的应用程序列表
- 下载额外的payload
- 上传文件
为了将木马分发给受害者,Patchwork用冒充巴基斯坦政府的文件引诱他们。例如,攻击者将名为EOIForm.rtf 的文档上传到他们自己的服务器 karachidha[.]org/docs/。
该文件包含一个漏洞利用程序(Microsoft 公式编辑器),旨在破坏受害者的计算机并执行最终payload。
该有效负载作为 OLE 对象存储在 RTF 文档中。我们可以根据源路径信息推断该文件是在 2021 年 12 月 9 日创建的。
Ragnatela木马通过位于 bgre.kozow[.]com 的服务器与攻击者的基础设施进行通信。在启动此活动之前(11 月下旬),攻击者测试了他们的服务器是否已启动并正常运行。
测试的木马(jli.dll) 也在 11 月下旬进行了测试,然后于 2021 年 12 月 9 日进行了最终编译,以及用于加载它的 MicroScMgmt.exe。
同样在 11 月下旬,我们可以看到攻击者在受害机器上测试木马。
Victims and victim(受害者们和受害者)
我们能够了解已被成功入侵的受害者:
- 国防部-巴基斯坦政府
- 伊斯兰阿巴德国防大学
- 巴基斯坦拉合尔 UVAS 大学生物科学学院
- 国际化学和生物科学中心
- HEJ化学研究所,国际化学与生物科学中心,卡拉奇大学
- SHU大学,分子医学院
而另一个受害者就是攻击者本人,似乎已经感染了自己的木马开发机器。我们可以看到他们同时运行 VirtualBox 和 VMware 来进行 Web 开发和测试。他们的主要主机具有双键盘布局(英语和印度语)。
可以获得的其他信息是当时的天气多云19 度,他们还没有更新 Java。更严重的是,攻击者使用 VPN Secure 和 CyberGhost 来掩盖他们的 IP 地址。
在VPN代理下,他们登录受害者的电子邮件和其他被木马窃取的帐户。
总结
本文章概述了 Patchwork APT组织的最新活动。虽然他们继续使用相同的钓鱼木马,但该组织对一种新的目标表现出兴趣。事实上,这是我们第一次观察到针对分子医学和生物科学研究人员的钓鱼攻击。
由于攻击者自己的恶意软件所获取的数据,我们能够更好地了解攻击者。该组织利用虚拟机和 VPN 来开发、推送更新和检查受害者。与其他一些东亚 APT组织一样,但Patchwork 并不像俄罗斯和朝鲜的同行那样复杂。
涉及文件
钓鱼RTF
karachidha[.]org/docs/EOIForm.rtf
5b5b1608e6736c7759b1ecf61e756794cf9ef3bb4752c315527bcc675480b6c6
木马
jli.dll
3d3598d32a75fd80c9ba965f000639024e4ea1363188f44c5d3d6d6718aaa1a3
C2服务器
bgre[.]kozow[.]com
评论7次
咖喱人大力出奇迹
自己搞自己牛的哦
咖喱人针不戳
芽儿哟,真的可以
真有意思奥自己感染了自己
rtf的0day吗?
不愧是三哥!!!