【安全资讯】Patchwork组织针对巴基斯坦医药行业发起攻击

猎影实验室 2022-01-10 06:51:22 738人浏览

引言

Patchwork是一个印度APT组织,自2015年12月以来一直活跃,通常针对巴基斯坦目标展开鱼叉式网络钓鱼攻击。2021年11月下旬至2021年12月上旬,Patchwork组织首次针对研究分子医学和生物科学的员工发起攻击活动。在此活动中,攻击者使用恶意RTF文件释放了名为Ragnatela的木马。

 

 

简况

Ragnatela是BADNEWS木马的新变种,通过鱼叉式网络钓鱼电子邮件分发给巴基斯坦受害者。Ragnatela在意大利语中表示蜘蛛网,这也是Patchwork APT组织面板的名称,如下图:

 

Ragnatela RAT于2021年11 月下旬构建,具有以下功能:

  • 通过 cmd 执行命令
  • 捕获屏幕截图
  • 记录击键
  • 收集受害者机器中所有文件的列表
  • 在特定时间段收集受害者机器中正在运行的应用程序列表
  • 下载附加有效载荷
  • 上传文件

 

 

Patchwork用冒充巴基斯坦当局的文件引诱受害者,从而分发 RAT文件。该文件包含一个漏洞利用程序,旨在破坏受害者的计算机并执行最终有效负载 (RAT),恶意文档触发漏洞利用的页面如下图:

 

有效负载作为 OLE 对象存储在 RTF 文档中,该文件是在 2021 年 12 月 9 日创建的。Ragnatela RAT 通过位于 bgre.kozow[.]com 的服务器与攻击者的基础设施进行通信。

 

 

目前,已经被入侵的受害者包括:

  • 巴基斯坦政府国防部
  • 伊斯兰Abad国防大学
  • 巴基斯坦拉合尔 UVAS大学生物科学学院
  • 国际化学和生物科学中心
  • 卡拉奇大学国际化学与生物科学中心,HEJ化学研究所
  • SHU大学分子医学

 

 

有趣的是,Patchwork威胁组织本身也受到了Ragnatela RAT的感染,因此研究人员观察到了关于攻击者的更多信息。该组织利用虚拟机和 VPN 来开发、推送更新和检查受害者。

 

 

总结

Patchwork APT的最新活动使用了与往常相同的诱饵和 RAT,并首次表现出了对生物医药研究人员的兴趣。

失陷指标(IOC)4
APT Patchwork 远程控制RAT Ragnatela 医疗卫生
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。