印度相关的黑客组织 Patchwork 自 2015 年 12 月以来一直很活跃,主要通过鱼叉式 *** 钓鱼攻击针对巴基斯坦。在 2021 年 11 月底至 12 月初的最新活动中,Patchwork 利用恶意 RTF 文件投放了 BADNEWS(Ragnatela)远程管理木马(RAT)的一个变种。但有趣的是这次活动却误伤了他们自己,使得安全研究人员得以一窥它的基础架构。
本次活动首次将目标锁定在研究重点为分子医学和生物科学的几位教员身上。令人讽刺的是,攻击者利用自己的 RAT 感染了自己的电脑,从而让安全公司 Malwarebytes 收集到了他们电脑和虚拟机的按键和屏幕截图。
通过分析,Malwarebytes 认为本次活动是 BADNEWS RAT 的一个新的变种,叫做 Ragnatela,通过鱼叉式 *** 钓鱼邮件传播给巴基斯坦的相关目标。Ragnatela 在意大利语中意为蜘蛛网,也是 Patchwork APT 使用的项目名称和面板。
在本次活动,当用户点击这些恶意 RTF 文档之后,就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序,它会以 OLE 对象存储在 RTF 文件中。在设备感染之后,它会和外部的 C&C 服务器建立连接,具备执行远程命令、截取屏幕、记录按键、收集设备上所有档案清单、在特定时间里执行指定程序、上传或者下载恶意程序等等。
Ragnatela RAT 是在 11 月下旬开发的,如其程序数据库 (PDB) 路径 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示,并被用于 *** 间谍活动。
Ragnatela RAT 允许威胁参与者执行恶意操作,例如:
● 通过 cmd 执行命令
● 屏幕截图
● 记录键盘按键
● 收集受害者机器中所有文件的列表
● 在特定时间段收集受害者机器中正在运行的应用程序列表
● 下载附加有效载荷
● 上传文件
为了向受害者分发RAT,Patchwork用冒充巴基斯坦当局的文件引诱他们。例如,一个名为 EOIForm.rtf 的文件被威胁者上传到他们自己的服务器 karachidha[.]org/docs/。该文件包含一个漏洞(Microsoft Equation Editor),其目的是破坏受害者的计算机并执行最终的有效载荷(RAT)。
不过,Malwarebytes 发现 Patchwork 自己也感染了 Ragnatela。通过 RAT,研究人员发现了该组织开发的基础框架,包括跑Virtual Box、VMware作为Web开发及测试环境,其主机有英文及印度文双键盘配置、以及尚未更新Java程式等。此外他们使用VPN Secure及CyberGhost来隐藏其IP位址,并透过VPN登入以RAT窃得的受害者电子邮件及其他帐号。
(消息及封面来源:cnBeta)
Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。 据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Re...
在周四的一份网络安全公告中,育碧(Ubisoft)证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏,但出于安全方面的考虑,育碧还是采取了全公司范围内的密码重置措施,以防发生其它意外。在此期间,育碧暂停了部分服务,但坚称没有玩家数据受到损害。截止发稿时,该公司旗下所有游戏和服...
根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。 在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为...
包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 G...
FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的...
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。 本周三,美国司法部披露了...