Siber tehdit avcıları, Kasım 2021'in sonlarında başlayan yeni kampanyalarını hazırladıkları Patchwork adlı bir grup Hintli bilgisayar korsanının mutfağına bakmayı başardılar. Kampanya, Pakistan devlet kurumlarını ve moleküler araştırma ve Biyolojik Bilimler.

Malwarebytes'ten bir ekip Cuma günü yaptığı açıklamada, "İronik olarak, tüm bu bilgileri, saldırganların kendilerine kendi Truva atlarını bulaştırması ve bunun da tuş vuruşlarının ele geçirilmesine ve bilgisayarlarının ve sanal makinelerinin ekran görüntülerinin alınmasına yol açması nedeniyle toplayabildik" dedi.

Bilgisayar korsanlarının oyununa gerçekten düşen kurbanların en büyüğü şunlardı:

Pakistan Savunma Bakanlığı;

Milli Savunma Üniversitesi, İslam Abad;

Biyolojik Bilimler Bölümü, UVAS Üniversitesi, Lahore, Pakistan;

Uluslararası Kimya ve Biyoloji Bilimleri Merkezi;

Karaçi Üniversitesi'ndeki Uluslararası Kimyasal ve Biyolojik Bilimler Merkezi;

Moleküler Tıp Anabilim Dalı, SHU Üniversitesi

Bildiğimiz kadarıyla, Patchwork APT 2015'ten beri faaliyet gösteriyor ve bilgi güvenliği topluluğunun daha geniş çevrelerinde Dropping Elephant, Chinastrats (Kaspersky), Quilted Tiger (CrowdStrike), Monsoon (Forcepoint), Zinc Emerson, TG-4410 (SecureWorks) ve APT-C-09 (Qihoo 360).

Casus grup, Pakistan ve Çin'deki diplomatik ve devlet kurumlarını, Amerika Birleşik Devletleri'ndeki düşünce kuruluşlarını ve Hindistan alt kıtasındaki diğer hedefleri hedef alan mızraklı kimlik avı kampanyalarıyla ünlüdür.

Adına * gelince, bilgisayar korsanları tarafından dağıtılan kötü amaçlı yazılımın oluşturulduğu kodun çoğunun çeşitli kamu ağ kaynaklarından kopyalandığı gerçeğine dayanmaktadır.

* Patchwork - bir karmakarışık veya birçok bileşenden, yamalardan oluşan bir şey.

"Saldırganlar tarafından kullanılan kod, çeşitli çevrimiçi forumlardan, yapısı bir patchwork yorganı andıracak şekilde kopyalandı." - Temmuz 2016'da zaten kapalı olan siber güvenlik girişimi Cymmetria'dan araştırmacılara dikkat çekti.

Bu yıllar boyunca, devam eden hacker operasyonları, QuasarRAT'ı, arka kapı görevi gören ve saldırganlara kurbanın makinesi üzerinde tam kontrol sağlayan BADNEWS implantı ile birlikte dağıtmaktan ve yürütmekten oluşuyordu. Ocak 2021'de grubun Microsoft Office'te (CVE-2017-0261) bir uzaktan kod yürütme güvenlik açığından yararlandığı ve bilgisayar korsanlarının hedef makinelere yük teslim ettiği görüldü.

En son kampanyada, bilgisayar korsanları ayrıca kendilerini özgünlükle ayırt etmediler ve iddiaya göre Pakistan'ın hükümet yapılarından gelen RTF belgeleriyle potansiyel kurbanları yakaladılar ve sonunda BADNEWS Truva Atı'nın Ragnatela adlı yeni bir sürümünü - bir "örümcek ağı" dağıttılar. italyanca. Ragnatela, operatörlerin keyfi komutlar yürütmesine, tuş vuruşlarını engellemesine, ekran görüntüsü almasına, dosya indirmesine ve diğer kötü amaçlı yazılımları yüklemesine olanak tanır.

Pakistan Savunma Memurları Konut İdaresi'nden (DHA) gelen bir çağrıyı taklit eden bu yeni tuzaklar, etkinleştirildiğinde kurbanın bilgisayarını tehlikeye atan ve Ragnatela yükünü yürüten Microsoft Denklem Düzenleyicisi için bir istismar içeriyor.

Ancak, OpSec olayları sırasında yapılan bir hata nedeniyle, saldırganlar kendi geliştirme makinelerine de bulaştı ve bu da Malwarebytes'in ana bilgisayarda iki dilli klavye düzeni (İngilizce / Hintçe) kullanımı da dahil olmak üzere taktiklerinin bazı nüanslarını öğrenmesine izin verdi, sanal makineler ve CyberGhost ve VPN Secure gibi VPN hizmetleri aracılığıyla IP gizleme.

Malwarebytes, "Aynı tuzakların ve RAT'lerin kullanılmasına rağmen, grup yeni kurban türlerine ilgi gösterdi" dedi. "Patchwork'ün yaşam bilimleri araştırmacılarını hedef aldığını ilk kez görüyoruz."

Çeviri haberleri KÖTÜ HABERLER! Patchwork APT Hackerları, Son Kötü Amaçlı Yazılım Saldırılarında Kendi Hedeflerini Puanlıyor

bbabo.Net