烏龍!網絡間諜組織因感染自家惡意軟件而暴露
日前,一個與印度有關的網絡間諜組織被自家的遠程訪問特洛伊木馬( RAT )感染上后,意外地將行動暴露給了安全研究人員。據了解,自2015年12月以來,這伙威脅分子就一直很活躍,因使用復制粘貼代碼而被稱為 PatchWork 。
在 PatchWork 最近的一次活動中(2021年11月底至12月初), 安全廠商 Malwarebytes Labs 發現這伙威脅分子使用惡意的 RTF 文件冒充巴基斯坦當局,用 BADNEWS RAT 的新變種(名為 Ragnatela )感染目標。Ragnatela RAT 使威脅分子可以執行命令、獲取屏幕快照、記錄擊鍵內容、搜集敏感文件和一長串運行中的應用程序、部署額外的有效載荷以及上傳文件等。
Malwarebytes Labs 威脅情報團隊解釋道:“出人意料的是,我們之所以能收集到所有信息,歸因于這伙威脅分子被其自己的 RAT 病毒感染,因而能獲取他們的計算機和虛擬機上的擊鍵內容和屏幕截圖。”研究人員獲得這一發現后,使用 VirtualBox 和 VMware 用于測試和 Web 開發,在擁有雙鍵盤布局(即英文和印度文)的計算機上進行測試,同時監控該團伙的一舉一動。
PatchWork測試Ragnatela RAT
來源:Malwarebytes Labs
研究人員在觀察對方行動的同時,還獲得了該組織攻擊的目標信息,這些目標包括巴基斯坦國防部以及多所大學,比如伊斯蘭堡國防大學、 UVAS 大學生物科學院、卡拉奇 HEJ 研究所和 SHU 大學的教職員工信息。Malwarebytes Labs 補充道:“通過威脅分子惡意軟件獲取的數據,我們能夠更清楚地了解誰在鍵盤后面搞破壞。”
據了解, PatchWork 團伙曾于 2018 年 3 月在多起魚叉式網絡釣魚活動中攻擊了美國多個智庫,采用了同樣的手法,即推送惡意 RTF 文件來滲入受害者系統,并推送 QuasarRAT 惡意軟件的變種。在 2018 年1 月,有機構監測到他們通過投放 BADNEWS 惡意軟件,對南亞地區的目標發動攻擊。他們還在 2016 年 5 月底對一家歐洲政府組織的雇員發動了一起魚叉式網絡釣魚活動。
