印度相關的黑客組織 Patchwork 自 2015 年 12 月以來一直很活躍，主要通過魚叉式網絡釣魚攻擊針對巴基斯坦。在 2021 年 11 月底至 12 月初的最新活動中，Patchwork 利用惡意 RTF 文件投放了 BADNEWS(Ragnatela)遠程管理木馬(RAT)的一個變種。但有趣的是這次活動卻誤傷了他們自己，使得安全研究人員得以一窺它的基礎架構。

本次活動首次將目標鎖定在研究重點為分子醫(yī)學和生物科學的幾位教員身上。令人諷刺的是，攻擊者利用自己的 RAT 感染了自己的電腦，從而讓安全公司 Malwarebytes 收集到了他們電腦和虛擬機的按鍵和屏幕截圖。

通過分析，Malwarebytes 認為本次活動是 BADNEWS RAT 的一個新的變種，叫做 Ragnatela，通過魚叉式網絡釣魚郵件傳播給巴基斯坦的相關目標。Ragnatela 在意大利語中意為蜘蛛網，也是 Patchwork APT 使用的項目名稱和面板。

在本次活動，當用戶點擊這些惡意 RTF 文檔之后，就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序，它會以 OLE 對象存儲在 RTF 文件中。在設備感染之后，它會和外部的 C&C 服務器建立連接，具備執(zhí)行遠程命令、截取屏幕、記錄按鍵、收集設備上所有檔案清單、在特定時間里執(zhí)行指定程序、上傳或者下載惡意程序等等。

Ragnatela RAT 是在 11 月下旬開發(fā)的，如其程序數據庫 (PDB) 路徑 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示，并被用于網絡間諜活動。

Ragnatela RAT 允許威脅參與者執(zhí)行惡意操作，例如：

• 通過 cmd 執(zhí)行命令
• 屏幕截圖
• 記錄鍵盤按鍵
• 收集受害者機器中所有文件的列表
• 在特定時間段收集受害者機器中正在運行的應用程序列表
• 下載附加有效載荷
• 上傳文件

為了向受害者分發(fā)RAT，Patchwork用冒充巴基斯坦當局的文件引誘他們。例如，一個名為 EOIForm.rtf 的文件被威脅者上傳到他們自己的服務器 karachidha[.]org/docs/。該文件包含一個漏洞(Microsoft Equation Editor)，其目的是破壞受害者的計算機并執(zhí)行最終的有效載荷(RAT)。

不過，Malwarebytes 發(fā)現 Patchwork 自己也感染了 Ragnatela。通過 RAT，研究人員發(fā)現了該組織開發(fā)的基礎框架，包括跑Virtual Box、VMware作為Web開發(fā)及測試環(huán)境，其主機有英文及印度文雙鍵盤配置、以及尚未更新Java程式等。此外他們使用虛擬專用網絡 Secure及CyberGhost來隱藏其IP位址，并透過虛擬專用網絡登入以RAT竊得的受害者電子郵件及其他帳號。