日前，一个与印度有关的网络间谍组织被自家的远程访问特洛伊木马（ RAT ）感染上后，意外地将行动暴露给了安全研究人员。据了解，自2015年12月以来，这伙威胁分子就一直很活跃，因使用复制粘贴代码而被称为 PatchWork 。

在 PatchWork 最近的一次活动中（2021年11月底至12月初）， 安全厂商 Malwarebytes Labs 发现这伙威胁分子使用恶意的 RTF 文件冒充巴基斯坦当局，用 BADNEWS RAT 的新变种（名为 Ragnatela ）感染目标。Ragnatela RAT 使威胁分子可以执行命令、获取屏幕快照、记录击键内容、搜集敏感文件和一长串运行中的应用程序、部署额外的有效载荷以及上传文件等。

Malwarebytes Labs 威胁情报团队解释道：“出人意料的是，我们之所以能收集到所有信息，归因于这伙威胁分子被其自己的 RAT 病毒感染，因而能获取他们的计算机和虚拟机上的击键内容和屏幕截图。”研究人员获得这一发现后，使用 VirtualBox 和 VMware 用于测试和 Web 开发，在拥有双键盘布局（即英文和印度文）的计算机上进行测试，同时监控该团伙的一举一动。

PatchWork测试Ragnatela RAT

来源：Malwarebytes Labs

研究人员在观察对方行动的同时，还获得了该组织攻击的目标信息，这些目标包括巴基斯坦国防部以及多所大学，比如伊斯兰堡国防大学、 UVAS 大学生物科学院、卡拉奇 HEJ 研究所和 SHU 大学的教职员工信息。Malwarebytes Labs 补充道：“通过威胁分子恶意软件获取的数据，我们能够更清楚地了解谁在键盘后面搞破坏。”

据了解， PatchWork 团伙曾于 2018 年 3 月在多起鱼叉式网络钓鱼活动中攻击了美国多个智库，采用了同样的手法，即推送恶意 RTF 文件来渗入受害者系统，并推送 QuasarRAT 恶意软件的变种。在 2018 年1 月，有机构监测到他们通过投放 BADNEWS 恶意软件，对南亚地区的目标发动攻击。他们还在 2016 年 5 月底对一家欧洲政府组织的雇员发动了一起鱼叉式网络钓鱼活动。（文章来源：安全牛）