前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Patchwork APT 在网络中被捕获

Patchwork APT 在网络中被捕获

作者头像
Khan安全团队
发布2022-01-11 19:32:04
发布2022-01-11 19:32:04
5580
举报
文章被收录于专栏:Khan安全团队

Patchwork是自 2015 年 12 月以来一直活跃的印度威胁参与者,通常通过鱼叉式网络钓鱼攻击以巴基斯坦为目标。在 2021 年 11 月下旬至 2021 年 12 月上旬的最近一次活动中,Patchwork 使用恶意 RTF 文件删除了 BADNEWS (Ragnatela) 远程管理木马 (RAT) 的变种。

这次最新活动的受害者中有趣的是,该演员首次针对几名研究重点为分子医学和生物科学的教职员工。

我们没有完全专注于受害者学,而是决定对这个 APT 有所了解。具有讽刺意味的是,我们收集的所有信息都是可能的,这要归功于攻击者用自己的 RAT 感染自己,从而捕获了他们自己的计算机和虚拟机的击键和屏幕截图。

我们确定了一种我们认为是名为 Ragnatela 的 BADNEWS RAT 的新变种,它通过鱼叉式网络钓鱼电子邮件分发给巴基斯坦感兴趣的目标。Ragnatela,意大利语中蜘蛛网的意思,也是Patchwork APT使用的项目名称和面板。

Patchwork 的 Ragnatela 面板
Patchwork 的 Ragnatela 面板

Ragnatela RAT 是在 11 月下旬的某个时间构建的,如其程序数据库 (PDB) 路径“E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb”所示。它具有以下功能:

  • 通过 cmd 执行命令
  • 捕获屏幕截图
  • 记录击键
  • 收集受害者机器中所有文件的列表
  • 在特定时间段收集受害者机器中正在运行的应用程序列表
  • 击倒附加有效载荷
  • 上传文件

Ragnatela 命令
Ragnatela 命令

为了将 RAT 分发给受害者,Patchwork 用冒充巴基斯坦当局的文件引诱他们。例如,威胁参与者将名为 EOIForm.rtf 的文档上传到他们自己的服务器 karachidha[.]org/docs/。

威胁参与者登录到他们的 Web 控制面板
威胁参与者登录到他们的 Web 控制面板

该文件包含一个漏洞利用程序(Microsoft 公式编辑器),旨在破坏受害者的计算机并执行最终有效负载 (RAT)。

恶意文档触发漏洞利用
恶意文档触发漏洞利用

该有效负载作为 OLE 对象存储在 RTF 文档中。我们可以根据源路径信息推断该文件是在 2021 年 12 月 9 日创建的。

包含 RAT 的 OLE 对象
包含 RAT 的 OLE 对象

Ragnatela RAT 通过位于 bgre.kozow[.]com 的服务器与攻击者的基础设施进行通信。在启动此活动之前(11 月下旬),威胁参与者测试了他们的服务器是否已启动并正常运行。

攻击者键入 ping 命令的日志
攻击者键入 ping 命令的日志

RAT (jli.dll) 也在 11 月下旬进行了测试,然后于 2021 年 12 月 9 日进行了最终编译,以及用于侧载它的 MicroScMgmt.exe。

正在编译的 RAT 的 DLL
正在编译的 RAT 的 DLL

同样在 11 月下旬,我们可以看到攻击者在典型的受害机器上测试侧载。

威胁参与者测试 RAT
威胁参与者测试 RAT

结论

概述了 Patchwork APT 的最新活动。虽然他们继续使用相同的诱饵和 RAT,但该组织对一种新的目标表现出兴趣。事实上,这是我们第一次观察到针对分子医学和生物科学研究人员的 Patchwork。

该组织利用虚拟机和 VPN 来开发、推送更新和检查受害者。与其他一些东亚 APT 一样,Patchwork 并不像俄罗斯和朝鲜的同行那样复杂。

本文系外文翻译,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文系外文翻译前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 结论
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档