投稿
  1. 谷达鸭首页
  2. 投稿

印度黑客中了自己放的RAT致内部系统曝光

育碧 投稿

安全厂商Malwarebytes发现经常对巴基斯坦发动网钓攻击的印度黑客Patchwork,居然被自己开发的远程存取木马(RAT)感染,使安全研究人员得以一窥Patchwork使用的基础架构

印度黑客中了自己放的RAT致内部系统曝光

安全厂商Malwarebytes发现印度一个黑客组织Patchwork近日被自己开发的远程访问木马(RAT)程序感染,使安全研究人员得以一窥它的基础架构。

2015年底被发现的Patchwork是印度国家黑客组织,经常以使用武装化的RTF档案发送精准钓鱼信件攻击巴基斯坦。 去年底,Patchwork又透过冒充巴基斯坦政府文件发送钓鱼信件,企图植入RAT程序。 Malwarebytes以这个Patchwork组织使用的项目名称,将该RAT命名为Ragnatela(意大利语中的「蜘蛛网」)。

在这波攻击中,当用户开启冒充来自巴国政府单位的恶意RTF档案后,即遭开采微软方程式编辑器(Microsoft Equation Editor)中的漏洞,植入RAT程序。 它会被以OLE对象形式储存在RTF文件中。

Ragnatela属于 BADNEWS 木马程序的变种。 在植入受害者电脑后,它会与外部C&C服务器建立连接。 研究人员分析它具有执行远程指令、抓取屏幕截图、记录键击、搜集受害者机器上所有档案清单、在特定时间执行受害电脑上的应用程序、上传档案或下载恶意程序等功能。

这波攻击显然还是以巴基斯坦的研究机构及大学为目标。 不过安全厂商也发现Patchwork自己也感染了Ragnatela。 透过这只RAT,研究人员搜集到这组织使用的基础架构,包括跑Virtual Box、VMware作为Web开发及测试环境,其主机有英文及印度文双键盘配置、以及尚未更新Java程序等。 此外他们使用 Secure及CyberGhost来隐藏其IP地址,并透过登入以RAT窃得的受害者电子邮件及其他帐号。

其他受害者包括巴国国防部、生物科学研究机构、以及数家大学的化学及生物科学、药学系所等。

(0)
打赏 微信扫一扫 微信扫一扫
育碧育碧认证作者
0 0

相关推荐

发表评论

登录后才能评论