PatchWork Group a accidentellement infecté ses propres systèmes avec le cheval de Troie Ragnatela

Helga Smithjanvier 12, 2022Dernière mise à jour: janvier 12, 2022
27 Temps de lecture 1 minute

Des chercheurs en sécurité ont remarqué qu'un groupe indien de piratage de cyberespionnage connu sous le nom de PatchWork (ou Largage d'éléphant, Chinestrats, ou Tigre matelassé) a infecté ses propres systèmes avec le cheval de Troie Ragnatela.

le Patchwork le groupe est actif depuis au moins décembre 2015, et d'anciens experts ont déjà noté que les pirates utilisent du code copié à partir d'autres.

Lors de la dernière campagne PatchWork, qui s'est déroulé de fin novembre à début décembre 2021, Laboratoires Malwarebytes ont observé que les attaquants utilisaient des documents RTF malveillants se faisant passer pour des responsables pakistanais et infectaient leurs systèmes cibles avec une nouvelle variante de RAT BADNEWS connu comme toile d'araignée.

Ragnatela RAT est capable d'exécuter les commandes nécessaires aux pirates, prendre des captures d'écran, intercepter les frappes, collecter des fichiers confidentiels et des listes d'applications en cours d'exécution sur la machine infectée, déployer des paylods supplémentaires et voler des fichiers.

Ironiquement, toutes les informations que nous avons pu recueillir provenaient du fait que les attaquants se sont infectés avec ce RAT, à la suite de quoi leurs frappes et captures d'écran ont été capturées à partir de leur propre ordinateur et de leurs machines virtuelles.dit Malwarebytes Labs.

Infecté ses propres systèmes avec Ragnatela

Après avoir découvert que les opérateurs de PatchWork avaient infecté leurs propres systèmes avec des logiciels malveillants, les chercheurs ont pu les suivre à l'aide de VirtualBox et VMware et collecter plus de données sur l'activité APT. Observer les opérations du groupe, des experts ont recueilli des informations sur les cibles des pirates, dont le ministère pakistanais de la Défense, ainsi que des professeurs de médecine moléculaire et de sciences biologiques dans plusieurs universités (dont l'Université de la défense nationale du Pakistan, Département de biologie de l'Université UVAS, Université de Karachi et Université SHU).

Le groupe utilise des machines virtuelles et des VPN pour développer, envoyer des mises à jour, et sonder leurs victimes. Patchwork, comme les autres APT d'Asie de l'Est, n'est pas aussi difficile que leurs homologues russes et nord-coréens.les analystes concluent.

Permettez-moi de vous rappeler que récemment nous avons parlé d'un autre cas curieux où Conti un ransomware a été victime d'une fuite de données.

Vous pouvez également être intéressé à lire sur Le nouveau ransomware de Rook est basé sur le code source de Babuk.

Mots clés
Helga Smithjanvier 12, 2022Dernière mise à jour: janvier 12, 2022
27 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page