Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London. PGP-nøgle: AF40821B.
Fuld biografi udgivet i Zero Day den 10. januar 2022 | Emne: Sikkerhed
En indisk trusselsgruppes indre virke er blevet afsløret, efter at den ved et uheld inficerede sit eget udviklingsmiljø med en fjernadgangs Trojan (RAT).
Dubbet Patchwork af Malwarebytes og sporet under navne, herunder Hangover Group, Dropping Elephant, Chinastrats, og Monsoon, den indiske gruppe har været på scenen siden mindst 2015 og lancerer aktivt kampagner designet til at implementere RAT'er med henblik på datatyveri og andre ondsindede aktiviteter.
I en af de seneste angrebsbølger forbundet med Patchwork målrettede gruppen individuelle fakultetsmedlemmer fra forskningsinstitutioner med speciale i biomedicinske og molekylære videnskaber.
Den 7. januar sagde Malwarebytes-teamet, at det var i stand til at dykke ned i gruppens avancerede persistente trusler (APT)-gruppens aktiviteter, efter at Patchwork formåede at inficere sine egne systemer med sin egen RAT-oprettelse, “hvilket resulterede i fangede tastetryk og skærmbilleder af deres egen computer og virtuelle maskiner.”
Ifølge cybersikkerhedsforskerne er Patchwork typisk afhængig af spear-phishing-angreb med skræddersyede e-mails sendt til specifikke mål. Disse e-mails har til formål at slippe RTF-filer, der indeholder BADNEWS RAT, hvoraf en ny variant nu er fundet.
Den seneste version af denne malware, kaldet Ragnatela, blev kompileret i november 2021. Trojaneren er i stand til at fange skærmbilleder, tastelogging, liste OS-processer og maskinfiler, uploade malware og udføre yderligere nyttelast.
Efter at have undersøgt Patchworks systemer, konstaterede holdet, at Ragnatela er gemt i ondsindede RTF-filer som OLE-objekter, ofte udformet til at være officiel kommunikation fra pakistanske myndigheder. En udnyttelse af en kendt Microsoft Equation Editor-sårbarhed bruges til at udføre RAT.
Baseret på angriberens kontrolpaneler var Malwarebytes i stand til at navngive den pakistanske regerings forsvarsministerium, National Defense University of Islamabad, Fakultet for Biovidenskab (FBS) ved UVAS University, HEJ Research Institute ved University of Karachi, og molekylærmedicinsk afdeling på SHU University som organisationer infiltreret af Patchwork.
Patchwork formåede at inficere sin egen udviklingsmaskine med Ragnatela, og så kunne forskerne også se dem gøre brug af VirtualBox og VMware virtuelle maskiner (VM'er) til at udføre malware-test.
“Anden information, der kan fås, er, at vejret på det tidspunkt var overskyet med 19 grader, og at de ikke har opdateret deres Java endnu,” sagde Malwarebytes. “På en mere seriøs note bruger trusselsaktøren VPN Secure og CyberGhost til at maskere deres IP-adresse.”
Dette er første gang, gruppen er blevet forbundet med angreb mod det biomedicinske forskningsmiljø, hvilket kan antyde et omdrejningspunkt i Patchworks prioriterede mål.
Tidligere og relateret dækning
Kinesiske APT LuminousMoth misbruger Zoom-mærket til at målrette mod offentlige agenturer.
Ny avanceret hackergruppe retter sig mod regeringer, ingeniører over hele verden.
Transparent Tribe APT retter sig mod regering, militær ved at inficere USB-enheder.
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Sikkerhed
NoReboot-angreb forfalsker lukning af iOS-telefon for at spionere på dig. JFrog-forskere finder JNDI-sårbarhed i H2-databasekonsoller lignende til Log4Shell Cybersikkerhedstræning virker ikke. Og hackingangreb bliver værre De 5 bedste VPN-tjenester i 2022 De største databrud, hacks af 2021 Security TV | Datastyring | CXO | Datacentre