PatchWork Group infiserte ved et uhell sine egne systemer med Ragnatela Trojan

Sikkerhetsforskere har lagt merke til at en indisk cyberspionasje-hackgruppe kjent som PatchWork (eller droppe elefant, Chinastrats, eller vattert tiger) har infisert sine egne systemer med Ragnatela-trojaneren.

De Lappeteppe gruppen har vært aktiv siden minst desember 2015, og tidligere eksperter har allerede notert at hackere bruker kode som er kopiert fra andre.

Under den siste PatchWork-kampanjen, som gikk fra slutten av november til begynnelsen av desember 2021, Malwarebytes Labs observert at angripere brukte ondsinnede RTF-dokumenter som utgir seg for å være pakistanske tjenestemenn og infiserte målsystemene deres med en ny variant av DÅRLIG NYHET RATTE kjent som spindelvev.

Ragnatela RAT er i stand til å utføre kommandoer som er nødvendige for hackere, ta skjermbilder, avskjære tastetrykk, samle inn konfidensielle filer og lister over applikasjoner som kjører på den infiserte maskinen, distribuere flere paylodder og stjele filer.

ironisk, all informasjonen vi var i stand til å samle inn kom fra det faktum at angriperne infiserte seg selv med denne RAT, som et resultat av at deres tastetrykk og skjermbilder ble tatt fra deres egen datamaskin og virtuelle maskiner.sier Malwarebytes Labs.

Infiserte egne systemer med Ragnatela

Etter å ha oppdaget at PatchWork-operatørene hadde infisert sine egne systemer med skadelig programvare, forskerne var i stand til å spore dem ved hjelp av VirtualBox og VMware og samle inn mer data om APT-aktivitet. Observere gruppens operasjoner, eksperter samlet informasjon om målene til hackere, inkludert det pakistanske forsvarsdepartementet, samt professorer i molekylær medisin og biologiske vitenskaper ved flere universiteter (inkludert Pakistans National Defense University, UVAS universitetsbiologiavdeling, Karachi University og SHU University).

Gruppen bruker virtuelle maskiner og VPN-er for å utvikle, sende oppdateringer, og etterforske ofrene deres. Lappeteppe, som andre østasiatiske APT-er, er ikke så vanskelig som deres russiske og nordkoreanske kolleger.konkluderer analytikerne.

La meg minne deg på at vi nylig snakket om en annen nysgjerrig sak når Conti løsepengevare ble offer for en datalekkasje.

Du kan også være interessert i å lese om Rooks nye løsepengevare er basert på Babuk-kildekoden.

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen