Malwarebytes Labsは1月7日、「Patchwork APT caught in its own web」において、「Patchwork」と呼ばれるインドの脅威アクター(APT)が2021年11月下旬から12月上旬にかけて行った新しいマルウェア配布キャンペーンに関する詳細を伝えた。
このキャンペーンでは、「Ragnatela」と呼ばれるリモートアクセス型トロイの木馬(RAT)が使われ、パキスタンの政府機関や分子医学および生物科学の研究施設が狙われたことが判明しているという。
Patchworkは2015年頃に活動を開始したAPTで、主にパキスタンの組織を標的にスピアフィッシング攻撃を行っていることで知られている。今回発覚した新しいキャンペーンでは、Ragnatelaと呼ばれるRATマルウェアがスピアフィッシングメールを介して配布されたことがわかっている。Ragnatelaはこれまで使われていたBADNEWSと呼ばれるRATの亜種とみられており、次のような機能を備えているという。
- cmd.exeを介したコマンドの実行
- スクリーンショットのキャプチャ
- キーストロークの記録
- 被害マシンにある全ファイルリストの収集
- 特定の期間に被害マシンで実行されているアプリケーションのリストの収集
- 追加ペイロードのダウンロード
- ファイルのアップロード
今回のキャンペーンにおける主な攻撃対象としては、パキスタンの国防省や大学、研究所などが挙げられている。興味深いのは、特に分子医学や生物科学の研究施設が攻撃対象にされている点である。Malwarebytes Labsによれば、分子医学と生物科学の研究者を対象としたPatchworkの活動を観測したのは今回が初めてだという。
もう一つ興味深い点は、このキャンペーンの詳細が、攻撃者自身のPCから流出したことである。どうやら攻撃者のPCが自身が攻撃に使用したRagnatelaに感染し、攻撃の戦術をはじめとするさまざまな情報が明らかになった模様だ。それによると、Patchworkでは仮想マシンとVPNを用いてマルウェアの開発やアップデートを行い、同じPCで被害者のチェックも行っている様子だという。また、VPNSecureとCyberGhostを利用してIPアドレスを隠蔽していることも判明した。