Hackers που ειδικεύονται στην κυβερνοκατασκοπεία και φαίνεται να συνδέονται με την Ινδία, μολύνθηκαν με το δικό τους custom RAT malware και εξέθεσαν κατά λάθος τις δραστηριότητές τους σε ερευνητές ασφαλείας.
Η hacking ομάδα ήταν ενεργή τουλάχιστον από τον Δεκέμβριο του 2015 και είναι γνωστή ως PatchWork, Dropping Elephant, Chinastrats ή Quilted Tiger.
Δείτε επίσης: FBI: Χάκερ στέλνουν ταχυδρομικά USB drives που εγκαθιστούν ransomware
Κατά τη διάρκεια της πιο πρόσφατης εκστρατείας κυβερνοκατασκοπείας της PatchWork (από τα τέλη Νοεμβρίου έως τις αρχές Δεκεμβρίου 2021), η Malwarebytes Labs παρατήρησε τους hackers να χρησιμοποιούν κακόβουλα έγγραφα RTF που υποδύονταν τις αρχές του Πακιστάν για να μολύνουν στόχους με μια νέα παραλλαγή του BADNEWS RAT, γνωστή ως Ragnatela.
Το Ragnatela RAT επιτρέπει στους εγκληματίες του κυβερνοχώρου να εκτελούν εντολές, να τραβούν screenshots, να καταγράφουν πληκτρολογήσεις, να συλλέγουν ευαίσθητα αρχεία, να αναπτύσσουν άλλα payloads και να ανεβάζουν αρχεία.
“Κατά ειρωνικό τρόπο, η συλλογή όλων των πληροφοριών έγινε χάρη στη hacking ομάδα που μολύνθηκε με το δικό της RAT, με αποτέλεσμα να καταγραφούν οι πληκτρολογήσεις και τα screenshots του δικού τους υπολογιστή και των virtual machines“, εξήγησε η ερευνητική ομάδα της Malwarebytes Labs.
Δείτε επίσης: AvosLocker ransomware: Linux έκδοση στοχεύει VMware ESXi servers
Αφού ανακάλυψαν ότι οι hackers PatchWork μόλυναν τα δικά τους συστήματα ανάπτυξης με το RAT, οι ερευνητές μπόρεσαν να τους παρακολουθήσουν, ενώ χρησιμοποιούσαν το VirtualBox και το VMware για testing και web development και testing σε υπολογιστές με dual keyboard layouts (δηλαδή, αγγλικά και ινδικά).
Οι ερευνητές μπόρεσαν, επίσης, να αποκτήσουν πληροφορίες για τους στόχους που είχε παραβιάσει η hacking ομάδα που ειδικεύεται στην κυβερνοκατασκοπεία. Μερικοί από τους στόχους ήταν το Υπουργείο Άμυνας του Πακιστάν και αρκετά πανεπιστήμια, όπως το National Defense University of Islam Abad, το Faculty of Bio-Science του UVAS University, το Karachi HEJ Research institute και το SHU University.
“Χάρη στα δεδομένα που καταγράφηκαν από το κακόβουλο λογισμικό της ίδιας της hacking ομάδας, μπορέσαμε να κατανοήσουμε καλύτερα ποιος κάθεται πίσω από το πληκτρολόγιο“, πρόσθεσε η Malwarebytes Labs.
Δείτε επίσης: Όλο και περισσότερες οι DDoS επιθέσεις που ζητούν λύτρα
“Η ομάδα χρησιμοποιεί virtual machines και VPN για να αναπτύξει, να προωθήσει ενημερώσεις και να ελέγξει τα θύματά της. Η Patchwork, όπως και κάποιες άλλες APT ομάδες της Ανατολικής Ασίας δεν είναι τόσο εξελιγμένες όσο αντίστοιχες κρατικές hacking ομάδες που συνδέονται με τη Ρωσία και τη Βόρεια Κορέα“.
Οι συγκεκριμένοι hackers είχαν στοχεύσει, τον Μάρτιο του 2018, think tanks των ΗΠΑ στα πλαίσια spear-phishing εκστρατείας, χρησιμοποιώντας την ίδια τακτική ώθησης κακόβουλων αρχείων RTF για την παραβίαση των συστημάτων των θυμάτων. Επίσης, είχαν χρησιμοποιήσει μια παραλλαγή του QuasarRAT malware.
Τον Ιανουάριο του 2018, προσπαθούσαν να μολύνουν συστήματα με το κακόβουλο λογισμικό BADNEWS.
Ήταν επίσης πίσω από μια εκστρατεία spear-phishing που στόχευε υπαλλήλους ενός ευρωπαϊκού κυβερνητικού οργανισμού στα τέλη Μαΐου 2016.
Πηγή: Bleeping Computer