Grupa PatchWork przypadkowo zainfekowała własne systemy trojanem Ragnatela

Badacze bezpieczeństwa zauważyli, że indyjska grupa hakerów cyberszpiegowska znana jako PatchWork (lub upuszczający słoń, Chinastrats, lub pikowany tygrys) zainfekował własne systemy trojanem Ragnatela.

ten Niejednolita całość grupa działa co najmniej od grudnia 2015, i wcześniejsi eksperci już zauważyłem że hakerzy używają kodu skopiowanego od innych.

Podczas ostatniej kampanii PatchWork, który trwał od końca listopada do początku grudnia 2021, Laboratorium Malwarebytes zaobserwowali, że osoby atakujące wykorzystywały złośliwe dokumenty RTF podszywające się pod pakistańskich urzędników i infekowały swoje systemy docelowe nowym wariantem BADNEWS SZCZUR znany jako pajęcza sieć.

Ragnatela RAT jest w stanie wykonywać polecenia niezbędne hakerom, robić zrzuty ekranu, przechwytywanie naciśnięć klawiszy, zbierać poufne pliki i listy uruchomionych aplikacji na zainfekowanej maszynie, wdrażaj dodatkowe paylody i kradnij pliki.

Ironicznie, all the information that we were able to collect came from the fact that the attackers infected themselves with this RAT, as a result of which their keystrokes and screenshots were captured from their own computer and virtual machines.says Malwarebytes Labs.

Zainfekował własne systemy Ragnatela

After discovering that the PatchWork operators had infected their own systems with malware, the researchers were able to track them using VirtualBox and VMware and collect more data on APT activity. Observing the group’s operations, eksperci zebrali informacje na temat celów hakerów, w tym pakistańskiego Ministerstwa Obrony, a także profesorowie medycyny molekularnej i nauk biologicznych na kilku uniwersytetach (w tym Narodowy Uniwersytet Obrony Pakistanu, Wydział Biologii Uniwersytetu UVAS, Uniwersytet Karaczi i Uniwersytet SHU).

Do rozwoju grupa wykorzystuje maszyny wirtualne i VPN, wyślij aktualizacje, i sondować ich ofiary. Niejednolita całość, jak inne wschodnioazjatyckie APT, nie jest tak trudna, jak ich rosyjskie i północnokoreańskie odpowiedniki.analitycy podsumowują.

Przypomnę, że ostatnio rozmawialiśmy o innym ciekawym przypadku, kiedy Kontynuuj ransomware padł ofiarą wycieku danych.

Możesz również przeczytać o tym Nowe oprogramowanie ransomware Rooka opiera się na kodzie źródłowym Babuk.

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry