PatchWork Group infectó accidentalmente sus propios sistemas con el troyano Ragnatela

Los investigadores de seguridad han notado que un grupo indio de hackers de ciberespionaje conocido como PatchWork (o Elefante cayendo, Chinastrats, o Tigre acolchado) ha infectado sus propios sistemas con el troyano Ragnatela.

los Labor de retazos el grupo ha estado activo desde al menos diciembre 2015, y expertos anteriores ya he notado que los hackers usan código copiado de otros.

Durante la última campaña de PatchWork, que se extendió desde finales de noviembre hasta principios de diciembre 2021, Laboratorios Malwarebytes observó que los atacantes utilizaron documentos RTF maliciosos haciéndose pasar por funcionarios paquistaníes e infectaron sus sistemas de destino con una nueva variante de RATA DE MALAS NOTICIAS conocido como telaraña.

Ragnatela RAT es capaz de ejecutar los comandos necesarios para los piratas informáticos, tomar capturas de pantalla, interceptar pulsaciones de teclas, recopilar archivos confidenciales y listas de aplicaciones en ejecución en la máquina infectada, implementar paylods adicionales y robar archivos.

Irónicamente, toda la información que pudimos recopilar provino del hecho de que los atacantes se infectaron con esta RAT, como resultado, sus pulsaciones de teclas y capturas de pantalla fueron capturadas desde su propia computadora y máquinas virtuales.dice Malwarebytes Labs.

Sistemas propios infectados con Ragnatela

Tras descubrir que los operadores de PatchWork habían infectado sus propios sistemas con malware, los investigadores pudieron rastrearlos usando VirtualBox y VMware y recopilar más datos sobre la actividad de APT. Observar las operaciones del grupo., los expertos recopilaron información sobre los objetivos de los piratas informáticos, incluido el Ministerio de Defensa de Pakistán, así como profesores de medicina molecular y ciencias biológicas en varias universidades (incluyendo la Universidad de Defensa Nacional de Pakistán, Departamento de Biología de la Universidad UVAS, Universidad de Karachi y Universidad SHU).

El grupo utiliza máquinas virtuales y VPN para desarrollar, enviar actualizaciones, y sondear a sus víctimas. Labor de retazos, como otras APT de Asia oriental, no es tan difícil como sus contrapartes rusas y norcoreanas.los analistas concluyen.

Os recuerdo que hace poco os hablábamos de otro caso curioso cuando Conti ransomware fue víctima de una fuga de datos.

También te puede interesar leer sobre El nuevo ransomware de Rook se basa en el código fuente de Babuk.

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba