與印度有關的 Patchwork APT 感染了自己的系統，暴露了其操作

在最近的一次活動中，一名與印度有關的威脅行為者被追蹤為 Patchwork（又名 Dropping Elephant），他使用了 BADNEWS 后門的新變體，稱為 Ragnatela（意大利語中的“蜘蛛網”）。然而，該組織在使用 RAT 感染其基礎設施后成為頭條新聞，允許研究人員分析其操作。

APT 組織至少從 2015 年開始就一直活躍， 之前的行動針對世界各地的軍事和政治個人，它對巴基斯坦的組織表現出特別的興趣。

2021 年底，Malwarebytes 研究人員觀察到 APT 小組針對的是研究重點是分子醫學和生物科學的教職員工。

在最近的一次活動中，Patchwork 小組使用武器化的 RTF 文件進行了魚叉式網絡釣魚活動，以刪除 BADNEWS (Ragnatela) 遠程管理木馬 (RAT) 的變種。惡意 RTF 文件冒充巴基斯坦當局并利用 Microsoft 公式編輯器中的漏洞來傳遞和執行最終有效負載 (RAT)。Malwarebytes 研究人員報告說，該有效負載作為 OLE 對象存儲在 RTF 文檔中。

Ragnatela RAT 是在 11 月下旬開發的，如其程序數據庫 (PDB) 路徑 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitetest.pdb”所示，并被用于網絡間諜活動。

Ragnatela RAT 允許威脅參與者執行惡意操作，例如：

• 通過 cmd 執行命令
• 捕獲屏幕截圖
• 記錄擊鍵
• 收集受害者機器中所有文件的列表
• 在特定時間段收集受害者機器中正在運行的應用程序列表
• 擊倒附加有效載荷
• 上傳文件

此次活動的受害者名單包括巴基斯坦國防部、伊斯蘭阿巴德國防大學、UVAS 大學（巴基斯坦拉合爾）生物科學學院、國際化學和生物科學中心、 HEJ化學研究所，國際化學與生物科學中心，卡拉奇舒大學，分子醫學。

“另一個——無意的——受害者是威脅參與者本人，他似乎已經感染了自己的 RAT 開發機器。我們可以看到他們同時運行 VirtualBox 和 VMware 來進行 Web 開發和測試。他們的主機擁有雙鍵盤布局（英語和印度語）。” 閱讀Malwarebytes 發布的報告。

“由于攻擊者自己的惡意軟件捕獲的數據，我們能夠更好地了解誰坐在鍵盤后面。該組織利用虛擬機和 VPN 來開發、推送更新和檢查受害者。與其他一些東亞 APT 一樣，Patchwork 不像俄羅斯和朝鮮的同行那樣復雜。”