Το PatchWork Group μόλυνα κατά λάθος τα δικά του συστήματα με το Ragnatela Trojan

Οι ερευνητές ασφαλείας παρατήρησαν ότι μια ινδική ομάδα χάκερ κυβερνοκατασκοπείας γνωστή ως PatchWork (ή πτώση ελέφαντα, Chinastrats, ή Καπιτονέ Τίγρη) έχει μολύνει τα δικά της συστήματα με τον Trojan Ragnatela.

ο Κουρελού Η ομάδα δραστηριοποιείται τουλάχιστον από τον Δεκέμβριο 2015, και παλαιότεροι ειδικοί έχουν ήδη σημειώσει ότι οι χάκερ χρησιμοποιούν κώδικα που έχει αντιγραφεί από άλλους.

Κατά την τελευταία καμπάνια PatchWork, που διήρκεσε από τα τέλη Νοεμβρίου έως τις αρχές Δεκεμβρίου 2021, Malwarebytes Labs παρατήρησε ότι οι επιτιθέμενοι χρησιμοποίησαν κακόβουλα έγγραφα RTF που παρίσταναν τους Πακιστανούς αξιωματούχους και μόλυναν τα συστήματα στόχων τους με μια νέα παραλλαγή BADNEWS RAT γνωστός ως ιστός αράχνης.

Το Ragnatela RAT είναι σε θέση να εκτελεί εντολές απαραίτητες για τους χάκερ, λήψη στιγμιότυπων οθόνης, παρεμποδίζουν τα πλήκτρα, συλλογή εμπιστευτικών αρχείων και λιστών εφαρμογών που εκτελούνται στο μολυσμένο μηχάνημα, αναπτύξτε πρόσθετους ωφέλιμους χώρους και κλέψτε αρχεία.

Ειρωνικώς, όλες οι πληροφορίες που μπορέσαμε να συλλέξουμε προήλθαν από το γεγονός ότι οι επιτιθέμενοι μολύνθηκαν με αυτόν τον RAT, με αποτέλεσμα οι πληκτρολογήσεις και τα στιγμιότυπα οθόνης να καταγράφονται από τον δικό τους υπολογιστή και τις εικονικές μηχανές τους.λέει η Malwarebytes Labs.

Μολυσμένα δικά τους συστήματα με Ragnatela

Αφού ανακάλυψαν ότι οι χειριστές του PatchWork είχαν μολύνει τα δικά τους συστήματα με κακόβουλο λογισμικό, οι ερευνητές μπόρεσαν να τους παρακολουθήσουν χρησιμοποιώντας το VirtualBox και το VMware και να συλλέξουν περισσότερα δεδομένα σχετικά με τη δραστηριότητα του APT. Παρατηρώντας τις λειτουργίες της ομάδας, ειδικοί συγκέντρωσαν πληροφορίες για τους στόχους των χάκερ, συμπεριλαμβανομένου του υπουργείου Άμυνας του Πακιστάν, καθώς και καθηγητές μοριακής ιατρικής και βιολογικών επιστημών σε πολλά πανεπιστήμια (συμπεριλαμβανομένου του Πανεπιστημίου Εθνικής Άμυνας του Πακιστάν, Τμήμα Βιολογίας Πανεπιστημίου UVAS, Πανεπιστήμιο του Καράτσι και Πανεπιστήμιο SHU).

Η ομάδα χρησιμοποιεί εικονικές μηχανές και VPN για την ανάπτυξη, αποστολή ενημερώσεων, και ερευνούν τα θύματά τους. Κουρελού, όπως και άλλα APT της Ανατολικής Ασίας, δεν είναι τόσο δύσκολο όσο οι Ρώσοι και Βορειοκορεάτες ομόλογοί τους.συμπεραίνουν οι αναλυτές.

Να σας θυμίσω ότι πρόσφατα μιλήσαμε για μια άλλη περίεργη περίπτωση όταν Conti Το ransomware έπεσε θύμα διαρροής δεδομένων.

Μπορεί επίσης να σας ενδιαφέρει να διαβάσετε σχετικά Το νέο ransomware του Rook είναι αυτό που βασίζεται στον πηγαίο κώδικα Babuk.

Helga Smith

Ενδιαφέρομαι πάντα για τις επιστήμες των υπολογιστών, ειδικά την ασφάλεια δεδομένων και το θέμα, που ονομάζεται σήμερα "επιστημονικά δεδομένα", από τα πρώτα μου χρόνια. Πριν μπείτε στην ομάδα κατάργησης ιών ως αρχισυντάκτης, Εργάστηκα ως ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο σε πολλές εταιρείες, συμπεριλαμβανομένου ενός από τους εργολάβους της Amazon. Μια άλλη εμπειρία: Έχω διδάξει σε πανεπιστήμια Arden και Reading.

Αφήστε μια απάντηση

Αυτό το site χρησιμοποιεί Akismet να μειώσει το spam. Μάθετε πώς γίνεται επεξεργασία των δεδομένων σας σχόλιο.

Κουμπί Επιστροφή στην κορυφή