印度相關(guān)的黑客組織 Patchwork 自 2015 年 12 月以來一直很活躍，主要通過魚叉式網(wǎng)絡(luò)釣魚攻擊針對巴基斯坦。在 2021 年 11 月底至 12 月初的最新活動中，Patchwork 利用惡意 RTF 文件投放了 BADNEWS(Ragnatela)遠程管理木馬(RAT)的一個變種。但有趣的是這次活動卻誤傷了他們自己，使得安全研究人員得以一窺它的基礎(chǔ)架構(gòu)。

本次活動首次將目標鎖定在研究重點為分子醫(yī)學(xué)和生物科學(xué)的幾位教員身上。令人諷刺的是，攻擊者利用自己的 RAT 感染了自己的電腦，從而讓安全公司 Malwarebytes 收集到了他們電腦和虛擬機的按鍵和屏幕截圖。

通過分析，Malwarebytes 認為本次活動是 BADNEWS RAT 的一個新的變種，叫做 Ragnatela，通過魚叉式網(wǎng)絡(luò)釣魚郵件傳播給巴基斯坦的相關(guān)目標。Ragnatela 在意大利語中意為蜘蛛網(wǎng)，也是 Patchwork APT 使用的項目名稱和面板。

在本次活動，當(dāng)用戶點擊這些惡意 RTF 文檔之后，就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序，它會以 OLE 對象存儲在 RTF 文件中。在設(shè)備感染之后，它會和外部的 C&C 服務(wù)器建立連接，具備執(zhí)行遠程命令、截取屏幕、記錄按鍵、收集設(shè)備上所有檔案清單、在特定時間里執(zhí)行指定程序、上傳或者下載惡意程序等等。

Ragnatela RAT 是在 11 月下旬開發(fā)的，如其程序數(shù)據(jù)庫 (PDB) 路徑 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示，并被用于網(wǎng)絡(luò)間諜活動。

Ragnatela RAT 允許威脅參與者執(zhí)行惡意操作，例如：

• 通過 cmd 執(zhí)行命令
• 屏幕截圖
• 記錄鍵盤按鍵
• 收集受害者機器中所有文件的列表
• 在特定時間段收集受害者機器中正在運行的應(yīng)用程序列表
• 下載附加有效載荷
• 上傳文件

為了向受害者分發(fā)RAT，Patchwork用冒充巴基斯坦當(dāng)局的文件引誘他們。例如，一個名為 EOIForm.rtf 的文件被威脅者上傳到他們自己的服務(wù)器 karachidha[.]org/docs/。該文件包含一個漏洞(Microsoft Equation Editor)，其目的是破壞受害者的計算機并執(zhí)行最終的有效載荷(RAT)。

不過，Malwarebytes 發(fā)現(xiàn) Patchwork 自己也感染了 Ragnatela。通過 RAT，研究人員發(fā)現(xiàn)了該組織開發(fā)的基礎(chǔ)框架，包括跑Virtual Box、VMware作為Web開發(fā)及測試環(huán)境，其主機有英文及印度文雙鍵盤配置、以及尚未更新Java程式等。此外他們使用虛擬專用網(wǎng)絡(luò) Secure及CyberGhost來隱藏其IP位址，并透過虛擬專用網(wǎng)絡(luò)登入以RAT竊得的受害者電子郵件及其他帳號。