黑客组织Patchwork感染自己开发的恶意程序 导致内部系统被曝光

本次活动首次将目标锁定在研究重点为分子医学和生物科学的几位教员身上。令人讽刺的是，攻击者利用自己的 RAT 感染了自己的电脑，从而让安全公司 Malwarebytes 收集到了他们电脑和虚拟机的按键和屏幕截图。

通过分析，Malwarebytes 认为本次活动是 BADNEWS RAT 的一个新的变种，叫做 Ragnatela，通过鱼叉式网络钓鱼邮件传播给巴基斯坦的相关目标。Ragnatela 在意大利语中意为蜘蛛网，也是 Patchwork APT 使用的项目名称和面板。

在本次活动，当用户点击这些恶意 RTF 文档之后，就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序，它会以 OLE 对象存储在 RTF 文件中。在设备感染之后，它会和外部的 C&C 服务器建立连接，具备执行远程命令、截取屏幕、记录按键、收集设备上所有档案清单、在特定时间里执行指定程序、上传或者下载恶意程序等等。

Ragnatela RAT 是在 11 月下旬开发的，如其程序数据库 (PDB) 路径 “E:/new_ops/jlitest __change_ops -29no