PatchWork Group tartutti vahingossa omat järjestelmänsä Ragnatela Trojanilla

Tietoturvatutkijat ovat havainneet intialaisen kybervakoilun hakkerointiryhmän, joka tunnetaan nimellä PatchWork (tai Pudottava norsu, Chinastrats, tai tikattu tiikeri) on tartuttanut omat järjestelmänsä Ragnatela-troijalaisella.

The PatchWork ryhmä on ollut aktiivinen ainakin joulukuusta lähtien 2015, ja aikaisemmat asiantuntijat ovat jo huomanneet että hakkerit käyttävät muilta kopioitua koodia.

Viimeisimmän PatchWork-kampanjan aikana, joka kesti marraskuun lopusta joulukuun alkuun 2021, Malwarebytes Labs havaitsivat, että hyökkääjät käyttivät haitallisia RTF-dokumentteja esiintyen Pakistanin virkamiehinä ja tartuttavat kohdejärjestelmiään uudella versiolla Huono uutinen rotta tunnetaan hämähäkinverkko.

Ragnatela RAT pystyy suorittamaan hakkereille tarpeellisia komentoja, ottaa kuvakaappauksia, siepata näppäinpainalluksia, kerätä luottamuksellisia tiedostoja ja luetteloita käynnissä olevista sovelluksista tartunnan saaneella koneella, ottaa käyttöön lisää voittolodeja ja varastaa tiedostoja.

ironisesti, kaikki tieto, jonka pystyimme keräämään, tuli siitä, että hyökkääjät tartuttavat itsensä tällä RAT:lla, jonka seurauksena heidän näppäinpainallukset ja kuvakaappaukset kaapattiin heidän omalta tietokoneeltaan ja virtuaalikoneistaan.sanoo Malwarebytes Labs.

Tartunta omat järjestelmät Ragnatelalla

Saatuaan selville, että PatchWork-operaattorit olivat saastuttaneet omat järjestelmänsä haittaohjelmilla, tutkijat pystyivät seuraamaan niitä VirtualBoxin ja VMwaren avulla ja keräämään lisää tietoa APT-toiminnasta. Seuraa ryhmän toimintaa, asiantuntijat keräsivät tietoa hakkereiden kohteista, mukaan lukien Pakistanin puolustusministeriö, sekä molekyylilääketieteen ja biologian professoreita useissa yliopistoissa (mukaan lukien Pakistanin National Defense University, UVAS-yliopiston biologian laitos, Karachin yliopisto ja SHU-yliopisto).

Ryhmä käyttää kehittämiseen virtuaalikoneita ja VPN:itä, lähettää päivityksiä, ja tutkia uhrejaan. PatchWork, kuten muut Itä-Aasian APT:t, ei ole niin vaikeaa kuin heidän venäläiset ja pohjoiskorealaiset kollegansa.analyytikot päättelevät.

Haluan muistuttaa, että puhuimme äskettäin toisesta omituisesta tapauksesta, kun Conti ransomware joutui tietovuodon uhriksi.

Saatat myös olla kiinnostunut lukemaan aiheesta Rookin uusi kiristysohjelma perustuu Babuk-lähdekoodiin.

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike