烏龍!網(wǎng)絡(luò)間諜組織因感染自家惡意軟件而暴露
責(zé)編:gltian |2022-01-14 13:51:45
日前,一個(gè)與印度有關(guān)的網(wǎng)絡(luò)間諜組織被自家的遠(yuǎn)程訪問(wèn)特洛伊木馬( RAT )感染上后,意外地將行動(dòng)暴露給了安全研究人員。據(jù)了解,自2015年12月以來(lái),這伙威脅分子就一直很活躍,因使用復(fù)制粘貼代碼而被稱為 PatchWork 。
在 PatchWork 最近的一次活動(dòng)中(2021年11月底至12月初), 安全廠商 Malwarebytes Labs 發(fā)現(xiàn)這伙威脅分子使用惡意的 RTF 文件冒充巴基斯坦當(dāng)局,用 BADNEWS RAT 的新變種(名為 Ragnatela )感染目標(biāo)。Ragnatela RAT 使威脅分子可以執(zhí)行命令、獲取屏幕快照、記錄擊鍵內(nèi)容、搜集敏感文件和一長(zhǎng)串運(yùn)行中的應(yīng)用程序、部署額外的有效載荷以及上傳文件等。
Malwarebytes Labs 威脅情報(bào)團(tuán)隊(duì)解釋道:“出人意料的是,我們之所以能收集到所有信息,歸因于這伙威脅分子被其自己的 RAT 病毒感染,因而能獲取他們的計(jì)算機(jī)和虛擬機(jī)上的擊鍵內(nèi)容和屏幕截圖。”研究人員獲得這一發(fā)現(xiàn)后,使用 VirtualBox 和 VMware 用于測(cè)試和 Web 開發(fā),在擁有雙鍵盤布局(即英文和印度文)的計(jì)算機(jī)上進(jìn)行測(cè)試,同時(shí)監(jiān)控該團(tuán)伙的一舉一動(dòng)。
PatchWork測(cè)試Ragnatela RAT 來(lái)源:Malwarebytes Labs
研究人員在觀察對(duì)方行動(dòng)的同時(shí),還獲得了該組織攻擊的目標(biāo)信息,這些目標(biāo)包括巴基斯坦國(guó)防部以及多所大學(xué),比如伊斯蘭堡國(guó)防大學(xué)、 UVAS 大學(xué)生物科學(xué)院、卡拉奇 HEJ 研究所和 SHU 大學(xué)的教職員工信息。Malwarebytes Labs 補(bǔ)充道:“通過(guò)威脅分子惡意軟件獲取的數(shù)據(jù),我們能夠更清楚地了解誰(shuí)在鍵盤后面搞破壞。”
據(jù)了解, PatchWork 團(tuán)伙曾于 2018 年 3 月在多起魚叉式網(wǎng)絡(luò)釣魚活動(dòng)中攻擊了美國(guó)多個(gè)智庫(kù),采用了同樣的手法,即推送惡意 RTF 文件來(lái)滲入受害者系統(tǒng),并推送 QuasarRAT 惡意軟件的變種。在 2018 年1 月,有機(jī)構(gòu)監(jiān)測(cè)到他們通過(guò)投放 BADNEWS 惡意軟件,對(duì)南亞地區(qū)的目標(biāo)發(fā)動(dòng)攻擊。他們還在 2016 年 5 月底對(duì)一家歐洲政府組織的雇員發(fā)動(dòng)了一起魚叉式網(wǎng)絡(luò)釣魚活動(dòng)。
文章來(lái)源:
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧