Łowcy cyberzagrożeń mogli zajrzeć do kuchni grupy indyjskich hakerów zwanej Patchwork, gdzie przygotowują nową kampanię, która rozpoczęła się pod koniec listopada 2021 roku. Kampania skierowana jest do pakistańskich agencji rządowych i osób specjalizujących się w badaniach molekularnych i nauki biologiczne.
„Jak na ironię, udało nam się zebrać wszystkie te informacje, ponieważ osoby atakujące zainfekowały się własnym trojanem, co doprowadziło do przechwytywania naciśnięć klawiszy i robienia zrzutów ekranu z ich komputera i maszyn wirtualnych” – powiedział w piątek zespół Malwarebytes .
Spośród ofiar, które faktycznie dały się nabrać na sztuczkę hakerów, największymi byli:
Ministerstwo Obrony Pakistanu;
Akademia Obrony Narodowej, Islam Abad;
Wydział Nauk Biologicznych, Uniwersytet UVAS, Lahore, Pakistan;
Międzynarodowe Centrum Nauk Chemicznych i Biologicznych;
Międzynarodowe Centrum Nauk Chemicznych i Biologicznych na Uniwersytecie w Karaczi;
Katedra Medycyny Molekularnej Uniwersytetu SHU
O ile nam wiadomo, Patchwork APT działa od 2015 roku i pojawił się również w szerszych kręgach społeczności bezpieczeństwa informacji pod pseudonimami Dropping Elephant, Chinastrats (Kaspersky), Quilted Tiger (CrowdStrike), Monsoon (Forcepoint), Zinc Emerson, TG-4410 (SecureWorks) i APT-C-09 (Qihoo 360).
Grupa szpiegowska słynie z kampanii spear phishingu, których celem są agencje dyplomatyczne i rządowe w Pakistanie, Chinach, think tanki w Stanach Zjednoczonych oraz inne cele zlokalizowane na subkontynencie indyjskim.
Co do nazwy *, opiera się ona na fakcie, że większość kodu, na którym zbudowane jest szkodliwe oprogramowanie rozpowszechniane przez hakerów, została skopiowana z różnych zasobów sieci publicznej.
* Patchwork - miszmasz lub coś złożonego z wielu elementów, łatek.
„Kod używany przez atakujących został skopiowany z różnych forów internetowych w taki sposób, że jego struktura przypomina patchworkową kołdrę”. - zauważyli badacze z zamkniętego już startupu cyberbezpieczeństwa Cymmetria w lipcu 2016 roku.
Przez te lata trwające operacje hakerskie polegały na wdrażaniu i wykonywaniu QuasarRAT w połączeniu z implantem BADNEWS, który działa jak tylne drzwi, dając atakującym pełną kontrolę nad maszyną ofiary. W styczniu 2021 r. grupa ta wykorzystywała również lukę umożliwiającą zdalne wykonanie kodu w pakiecie Microsoft Office (CVE-2017-0261), za pośrednictwem której hakerzy dostarczali ładunki na docelowe maszyny.
W najnowszej kampanii hakerzy nie wyróżniali się też oryginalnością i łapali potencjalne ofiary dokumentami RTF, rzekomo ze struktur rządowych Pakistanu, za pośrednictwem których ostatecznie wdrażają nową wersję trojana BADNEWS o nazwie Ragnatela – „pajęczyna”. po włosku. Ragnatela umożliwia operatorom wykonywanie dowolnych poleceń, przechwytywanie naciśnięć klawiszy, robienie zrzutów ekranu, pobieranie plików i przesyłanie innego złośliwego oprogramowania.
Te nowe wabiki, które naśladują telefon z Pakistanu Defense Officers Housing Authority (DHA), zawierają exploita dla Microsoft Equation Editor, który po aktywacji naraża komputer ofiary i uruchamia ładunek Ragnatela.
Jednak ze względu na błąd popełniony podczas wydarzeń OpSec, osoby atakujące zainfekowały również własną maszynę programistyczną, co pozwoliło Malwarebytes poznać niektóre niuanse ich taktyki, w tym użycie dwujęzycznego układu klawiatury (angielski / indyjski) na hoście , a także ukrywanie adresów IP za pomocą maszyn wirtualnych i usług VPN, takich jak CyberGhost i VPN Secure.
„Pomimo używania tych samych wabików i RAT, grupa wykazała zainteresowanie nowymi rodzajami ofiar” – podsumował Malwarebytes. „Po raz pierwszy widzimy Patchwork skierowany do badaczy nauk przyrodniczych”.
Wiadomości o tłumaczeniu ZŁE WIADOMOŚCI! Patchworkowi APT Hakerzy zdobywają własny cel w ostatnich atakach złośliwego oprogramowania
bbabo.Net