Ithome
印度駭客中了自己放的RAT致內部系統曝光
林妍溱
安全廠商Malwarebytes發現經常對巴基斯坦發動網釣攻擊的印度駭客Patchwork，居然被
自己開發的遠端存取木馬(RAT)感染，使安全研究人員得以一窺Patchwork使用的基礎架構
Patchwork近日被自己開發的遠端存取木馬(RAT)程式感染，使安全研究人員得以一窺它的
基礎架構。
2015年底被發現的Patchwork是印度國家駭客組織，經常以使用武裝化的RTF檔案發送精準
釣魚信件攻擊巴基斯坦。去年底，Patchwork又透過冒充巴基斯坦政府文件發送釣魚信件
，企圖植入RAT程式。Malwarebytes以這個Patchwork組織使用的專案名稱，將該RAT命名
為Ragnatela（義大利文中的「蜘蛛網」）。
在這波攻擊中，當用戶開啟冒充來自巴國政府單位的惡意RTF檔案後，即遭開採微軟方程
式編輯器(Microsoft Equation Editor)中的漏洞，植入RAT程式。它會被以OLE物件形式
儲存在RTF文件中。
Ragnatela屬於 BADNEWS 木馬程式的變種。在植入受害者電腦後，它會與外部C&C伺服器
建立連線。研究人員分析它具有執行遠端指令、擷取螢幕擷圖、紀錄鍵擊、蒐集受害者機
器上所有檔案清單、在特定時間執行受害電腦上的應用程式、上傳檔案或下載惡意程式等
功能。
這波攻擊顯然還是以巴基斯坦的研究機構及大學為目標。不過安全廠商也發現Patchwork
自己也感染了Ragnatela。透過這隻RAT，研究人員蒐集到這組織使用的基礎架構，包括跑
Virtual Box、VMware作為Web開發及測試環境，其主機有英文及印度文雙鍵盤配置、以及
尚未更新Java程式等。此外他們使用VPN Secure及CyberGhost來隱藏其IP位址，並透過VP
N登入以RAT
竊得的受害者電子郵件及其他帳號。
其他受害者包括巴國國防部、生物科學研究機構、以及數家大學的化學及生物科學、藥學
系
所等。
https://reurl.cc/7e3AKd