PatchWork Group heeft per ongeluk zijn eigen systemen geïnfecteerd met Ragnatela Trojan

Beveiligingsonderzoekers hebben gemerkt dat een Indiase cyberspionage-hackgroep die bekend staat als PatchWork (of laten vallen olifant, Chinastraten, of gewatteerde tijger) heeft zijn eigen systemen geïnfecteerd met de Ragnatela Trojan.

De Lapwerk groep is actief sinds minstens december 2015, en eerdere experts heb al opgemerkt dat hackers code gebruiken die van anderen is gekopieerd.

Tijdens de laatste PatchWork campagne, die liep van eind november tot begin december 2021, Malwarebytes Labs merkten op dat aanvallers kwaadaardige RTF-documenten gebruikten die zich voordeden als Pakistaanse functionarissen en hun doelsystemen infecteerden met een nieuwe variant van: SLECHTNIEUWS RAT bekend als spinnenweb.

Ragnatela RAT kan commando's uitvoeren die nodig zijn voor hackers, maak screenshots, onderschep toetsaanslagen, verzamel vertrouwelijke bestanden en lijsten met actieve applicaties op de geïnfecteerde machine, extra payloden inzetten en bestanden stelen.

Nadat ze ontdekten dat de PatchWork-operators hun eigen systemen hadden geïnfecteerd met malware, de onderzoekers konden ze volgen met behulp van VirtualBox en VMware en meer gegevens verzamelen over APT-activiteit. De activiteiten van de groep observeren, experts verzamelden informatie over de doelen van hackers, waaronder het Pakistaanse ministerie van Defensie, evenals professoren in moleculaire geneeskunde en biologische wetenschappen aan verschillende universiteiten (inclusief de Nationale Defensie Universiteit van Pakistan, Afdeling Biologie van de Universiteit van UVAS, Karachi University en SHU University).

Laat me je eraan herinneren dat we het onlangs hadden over een ander merkwaardig geval waarin... continu ransomware het slachtoffer geworden van een datalek.

Misschien vind je het ook interessant om te lezen over De nieuwe ransomware van Rook is gebaseerd op de Babuk-broncode.