Charlie Osborne er en cybersikkerhetsjournalist og fotograf som skriver for ZDNet og CNET fra London. PGP-nøkkel: AF40821B.
Full Bio Publisert i Zero Day 10. januar 2022 | Emne: Sikkerhet
En indisk trusselgruppes indre virkemåte har blitt avslørt etter at den ved et uhell infiserte sitt eget utviklingsmiljø med en fjerntilgang Trojan (RAT).
Dubbet Patchwork av Malwarebytes og sporet under navn inkludert Hangover Group, Dropping Elephant, Chinastrats, og Monsoon, den indiske gruppen har vært på stedet siden minst 2015 og lanserer aktivt kampanjer designet for å distribuere RAT-er for datatyveri og andre ondsinnede aktiviteter.
I en av de siste angrepsbølgene knyttet til Patchwork, målrettet gruppen individuelle fakultetsmedlemmer fra forskningsinstitusjoner som spesialiserer seg på biomedisinske og molekylære vitenskaper.
Den 7. januar sa Malwarebytes-teamet at de var i stand til å fordype seg i gruppens aktiviteter for avansert vedvarende trussel (APT) etter at Patchwork klarte å infisere sine egne systemer med sin egen RAT-oppretting, “som resulterte i fangede tastetrykk og skjermbilder av deres egen datamaskin og virtuelle maskiner.”
Ifølge cybersikkerhetsforskerne er Patchwork vanligvis avhengig av spyd-phishing-angrep, med skreddersydde e-poster sendt til spesifikke mål. Disse e-postene tar sikte på å slippe RTF-filer som inneholder BADNEWS RAT, som det nå er funnet en ny variant av.
Den siste versjonen av denne skadevaren, kalt Ragnatela, ble kompilert i november 2021. Trojaneren er i stand til å ta skjermbilder, tastelogging, liste opp OS-prosesser og maskinfiler, laste opp skadelig programvare og utføre ytterligere nyttelast.
Etter å ha undersøkt Patchworks systemer, konstaterte teamet at Ragnatela er lagret i ondsinnede RTF-filer som OLE-objekter, ofte laget for å være offisiell kommunikasjon fra pakistanske myndigheter. En utnyttelse for et kjent Microsoft Equation Editor-sårbarhet brukes til å utføre RAT.
Basert på angriperens kontrollpaneler var Malwarebytes i stand til å navngi den pakistanske regjeringens forsvarsdepartement, National Defense University of Islamabad, Fakultet for biovitenskap (FBS) ved UVAS University, HEJ Research Institute ved University of Karachi, og den molekylærmedisinske avdelingen ved SHU University som organisasjoner infiltrert av Patchwork.
Patchwork klarte å infisere sin egen utviklingsmaskin med Ragnatela, og derfor kunne forskerne også se dem bruke VirtualBox og VMware virtuelle maskiner (VM-er) for å utføre skadevaretesting.
“Annen informasjon som kan fås er at været på det tidspunktet var overskyet med 19 grader og at de ikke har oppdatert Java ennå,” sa Malwarebytes. “På et mer alvorlig notat, bruker trusselaktøren VPN Secure og CyberGhost for å maskere IP-adressen deres.”
Dette er første gang gruppen har blitt koblet til angrep mot det biomedisinske forskningsmiljøet, noe som kan antyde en pivot i Patchworks prioriterte mål.
Tidligere og relatert dekning
Kinesiske APT LuminousMoth misbruker Zoom-merket for å målrette mot offentlige byråer.
Ny avansert hackinggruppe retter seg mot regjeringer, ingeniører over hele verden.
Transparent Tribe APT retter seg mot myndigheter, militæret ved å infisere USB-enheter.
Har du et tips? Ta kontakt på en sikker måte via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Sikkerhet
NoReboot-angrep forfalsker iOS-telefonavslutning for å spionere på deg JFrog-forskere finner JNDI-sårbarhet i H2-databasekonsoller lignende til Log4Shell Cybersecurity-opplæring fungerer ikke. Og hackingangrep blir verre De 5 beste VPN-tjenestene i 2022 De største datainnbruddene, hacks av 2021 Security TV | Databehandling | CXO | Datasentre