Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London. PGP-nyckel: AF40821B.
Fullständig biografi publicerad i Zero Day den 10 januari 2022 | Ämne: Säkerhet
En indisk hotgrupps inre funktioner har avslöjats efter att den av misstag infekterade sin egen utvecklingsmiljö med en fjärråtkomsttrojan (RAT).
Dubbad Patchwork av Malwarebytes och spårad under namn inklusive Hangover Group, Dropping Elephant, Chinastrats, och Monsoon, den indiska gruppen har varit på plats sedan åtminstone 2015 och lanserar aktivt kampanjer utformade för att distribuera RAT:er i syfte att stölda data och andra skadliga aktiviteter.
I en av de senaste attackvågorna kopplade till Patchwork riktade gruppen sig mot enskilda fakultetsmedlemmar från forskningsinstitutioner som specialiserat sig på biomedicinska och molekylära vetenskaper.
Den 7 januari sa Malwarebytes-teamet att de kunde fördjupa sig i gruppens aktiviteter för avancerade persistent hot (APT) efter att Patchwork lyckats infektera sina egna system med sin egen RAT-skapande, vilket resulterade i fångade tangenttryckningar och skärmdumpar av sin egen dator och virtuella maskiner.”
Enligt cybersäkerhetsforskarna förlitar sig Patchwork vanligtvis på spear-phishing-attacker, med skräddarsydda e-postmeddelanden som skickas till specifika mål. Dessa e-postmeddelanden syftar till att släppa RTF-filer som innehåller BADNEWS RAT, av vilken en ny variant nu har hittats.
Den senaste versionen av denna skadliga programvara, kallad Ragnatela, kompilerades i november 2021. Trojanen kan ta skärmdumpar, tangentloggning, lista OS-processer och maskinfiler, ladda upp skadlig programvara och utföra ytterligare nyttolaster.
Efter att ha undersökt Patchworks system konstaterade teamet att Ragnatela är lagrad i skadliga RTF-filer som OLE-objekt, ofta utformade för att vara officiell kommunikation från pakistanska myndigheter. En exploatering för en känd Microsoft Equation Editor-sårbarhet används för att köra RAT.
Baserat på angriparens kontrollpaneler kunde Malwarebytes namnge den pakistanska regeringens försvarsministerium, National Defense University of Islamabad, Faculty of Bio-Sciences (FBS) vid UVAS University, HEJ Research Institute vid University of Karachi, och avdelningen för molekylärmedicin vid SHU University som organisationer infiltrerade av Patchwork.
Patchwork lyckades infektera sin egen utvecklingsmaskin med Ragnatela, så forskarna kunde också se dem använda VirtualBox och VMware virtuella maskiner (VM) för att testa skadlig programvara.
“Annan information som kan erhållas är att vädret vid den tiden var molnigt med 19 grader och att de inte har uppdaterat sin Java ännu,” sa Malwarebytes. “På ett mer allvarligt sätt använder hotaktören VPN Secure och CyberGhost för att maskera sin IP-adress.”
Detta är första gången gruppen har kopplats till attacker mot det biomedicinska forskarsamhället, vilket kan antyda en pivot i Patchworks prioriterade mål.
Tidigare och relaterad bevakning
Kinesiska APT LuminousMoth missbrukar varumärket Zoom för att rikta in sig på statliga byråer.
Ny avancerad hackinggrupp riktar sig till regeringar, ingenjörer över hela världen.
Transparent Tribe APT riktar sig till myndigheter, militär genom att infektera USB-enheter.
Har du ett tips? Ta kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Säkerhet
NoReboot attack fejkar iOS-telefonavstängning för att spionera på dig JFrog-forskare finner JNDI-sårbarhet i H2-databaskonsoler liknande till Log4Shell Cybersäkerhetsutbildningen fungerar inte. Och hackattacker blir värre De 5 bästa VPN-tjänsterna 2022 De största dataintrången, hackarna från 2021 Security TV | Datahantering | CXO | Datacenter