安全廠商Malwarebytes發現印度一個駭客組織Patchwork近日被自己開發的遠端存取木馬(RAT)程式感染,使安全研究人員得以一窺它的基礎架構。

2015年底被發現的Patchwork是印度國家駭客組織,經常以使用武裝化的RTF檔案發送精準釣魚信件攻擊巴基斯坦。去年底,Patchwork又透過冒充巴基斯坦政府文件發送釣魚信件,企圖植入RAT程式。Malwarebytes以這個Patchwork組織使用的專案名稱,將該RAT命名為Ragnatela(義大利文中的「蜘蛛網」)。

在這波攻擊中,當用戶開啟冒充來自巴國政府單位的惡意RTF檔案後,即遭開採微軟方程式編輯器(Microsoft Equation Editor)中的漏洞,植入RAT程式。它會被以OLE物件形式儲存在RTF文件中。

Ragnatela屬於 BADNEWS 木馬程式的變種。在植入受害者電腦後,它會與外部C&C伺服器建立連線。研究人員分析它具有執行遠端指令、擷取螢幕擷圖、紀錄鍵擊、蒐集受害者機器上所有檔案清單、在特定時間執行受害電腦上的應用程式、上傳檔案或下載惡意程式等功能。

這波攻擊顯然還是以巴基斯坦的研究機構及大學為目標。不過安全廠商也發現Patchwork自己也感染了Ragnatela。透過這隻RAT,研究人員蒐集到這組織使用的基礎架構,包括跑Virtual Box、VMware作為Web開發及測試環境,其主機有英文及印度文雙鍵盤配置、以及尚未更新Java程式等。此外他們使用VPN Secure及CyberGhost來隱藏其IP位址,並透過VPN登入以RAT竊得的受害者電子郵件及其他帳號。

其他受害者包括巴國國防部、生物科學研究機構、以及數家大學的化學及生物科學、藥學系所等。

熱門新聞

Advertisement