Ithome
印度骇客中了自己放的RAT致内部系统曝光
林妍溱
安全厂商Malwarebytes发现经常对巴基斯坦发动网钓攻击的印度骇客Patchwork，居然被
自己开发的远端存取木马(RAT)感染，使安全研究人员得以一窥Patchwork使用的基础架构
Patchwork近日被自己开发的远端存取木马(RAT)程式感染，使安全研究人员得以一窥它的
基础架构。
2015年底被发现的Patchwork是印度国家骇客组织，经常以使用武装化的RTF档案发送精准
钓鱼信件攻击巴基斯坦。去年底，Patchwork又透过冒充巴基斯坦政府文件发送钓鱼信件
，企图植入RAT程式。Malwarebytes以这个Patchwork组织使用的专案名称，将该RAT命名
为Ragnatela（意大利文中的“蜘蛛网”）。
在这波攻击中，当用户开启冒充来自巴国政府单位的恶意RTF档案后，即遭开采微软方程
式编辑器(Microsoft Equation Editor)中的漏洞，植入RAT程式。它会被以OLE物件形式
储存在RTF文件中。
Ragnatela属于 BADNEWS 木马程式的变种。在植入受害者电脑后，它会与外部C&C服务器
建立连线。研究人员分析它具有执行远端指令、撷取萤幕撷图、纪录键击、蒐集受害者机
器上所有档案清单、在特定时间执行受害电脑上的应用程式、上传档案或下载恶意程式等
功能。
这波攻击显然还是以巴基斯坦的研究机构及大学为目标。不过安全厂商也发现Patchwork
自己也感染了Ragnatela。透过这只RAT，研究人员蒐集到这组织使用的基础架构，包括跑
Virtual Box、VMware作为Web开发及测试环境，其主机有英文及印度文双键盘配置、以及
尚未更新Java程式等。此外他们使用VPN Secure及CyberGhost来隐藏其IP位址，并透过VP
N登入以RAT
窃得的受害者电子邮件及其他帐号。
其他受害者包括巴国国防部、生物科学研究机构、以及数家大学的化学及生物科学、药学
系
所等。
https://reurl.cc/7e3AKd