PatchWork Group inficerede ved et uheld sine egne systemer med Ragnatela Trojan

Sikkerhedsforskere har bemærket, at en indisk hackergruppe for cyberspionage kendt som PatchWork (eller Dropper Elephant, Chinastrats, eller Quiltet Tiger) har inficeret sine egne systemer med Ragnatela Trojan.

Det PatchWork gruppen har været aktiv siden mindst december 2015, og tidligere eksperter allerede har bemærket at hackere bruger kode kopieret fra andre.

Under den seneste PatchWork-kampagne, som løb fra slutningen af ​​november til begyndelsen af ​​december 2021, Malwarebytes Labs observerede, at angribere brugte ondsindede RTF-dokumenter, der udgav sig for at være pakistanske embedsmænd og inficerede deres målsystemer med en ny variant af DÅRLIGT NYT RATTE kendt som edderkoppespind.

Ragnatela RAT er i stand til at udføre kommandoer, der er nødvendige for hackere, tage skærmbilleder, opsnappe tastetryk, indsamle fortrolige filer og lister over kørende programmer på den inficerede maskine, implementere yderligere paylods og stjæle filer.

ironisk, al den information, vi var i stand til at indsamle, kom fra det faktum, at angriberne inficerede sig selv med denne RAT, som et resultat af, at deres tastetryk og skærmbilleder blev fanget fra deres egen computer og virtuelle maskiner.siger Malwarebytes Labs.

Inficerede egne systemer med Ragnatela

Efter at have opdaget, at PatchWork-operatørerne havde inficeret deres egne systemer med malware, forskerne var i stand til at spore dem ved hjælp af VirtualBox og VMware og indsamle flere data om APT-aktivitet. Observere gruppens operationer, eksperter indsamlede oplysninger om målene for hackere, herunder det pakistanske forsvarsministerium, samt professorer i molekylær medicin og biologiske videnskaber ved flere universiteter (herunder Pakistans National Defense University, UVAS Universitets Biologisk Institut, Karachi University og SHU University).

Gruppen bruger virtuelle maskiner og VPN'er til at udvikle, sende opdateringer, og undersøge deres ofre. PatchWork, ligesom andre østasiatiske APT'er, er ikke så svært som deres russiske og nordkoreanske kolleger.konkluderer analytikerne.

Lad mig minde dig om, at vi for nylig talte om en anden nysgerrig sag, hvornår Conti ransomware blev offer for et datalæk.

Du kan også være interesseret i at læse om Rooks nye ransomware er baseret på Babuk-kildekoden.

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap