Hindistan bağlantılı bir siber casusluk grubu, kendi özel uzaktan erişim truva atlarını (RAT) kendilerine bulaştırdıktan sonra, operasyonlarını yanlışlıkla güvenlik araştırmacılarına ifşa etti.
Tehdit aktörü, en az Aralık 2015’ten beri aktiftir ve aşağıdakiler nedeniyle PatchWork (aka Dropping Elephant, Chinastrats veya Quilted Tiger) olarak izlenmektedir. kopyala yapıştır kod kullanımı.
PatchWork’ün Kasım ayı sonu ile Aralık 2021 başı arasındaki en son kampanyası sırasında Malwarebytes Labs, tehdit aktörlerinin Pakistan makamlarını taklit eden kötü niyetli RTF belgeleri kullanarak hedeflere BADNEWS RAT’ın Ragnatela olarak bilinen yeni bir çeşidini bulaştırmalarını gözlemledi.
Ragnatela RAT, tehdit aktörlerinin komutları yürütmesine, ekran anlık görüntülerini yakalamasına, tuş vuruşlarını kaydetmesine, hassas dosyaları ve çalışan uygulamaların bir listesini toplamasına, ek yükleri dağıtmasına ve dosya yüklemesine olanak tanır.
“İronik olarak, topladığımız tüm bilgiler, tehdit aktörünün kendi RAT’leriyle kendilerine bulaşması ve kendi bilgisayarlarının ve sanal makinelerinin tuş vuruşlarını ve ekran görüntülerini yakalaması sayesinde mümkün oldu.” Malwarebytes Labs’in Tehdit İstihbarat Ekibi açıkladı.
PatchWork operatörlerinin RAT ile kendi geliştirme sistemlerine bulaştığını keşfettikten sonra, araştırmacılar VirtualBox ve VMware’i test ve web geliştirme ve çift klavye düzenine sahip bilgisayarlarda (ör. İngilizce ve Hintçe) test için kullanırken onları izlemeyi başardılar.
Operasyonlarını gözlemlerken, Pakistan Savunma Bakanlığı ve İslam Abad Ulusal Savunma Üniversitesi, UVAS Üniversitesi Biyo-Fakülte gibi birden fazla üniversitedeki moleküler tıp ve biyolojik bilim bölümlerinden öğretim üyeleri de dahil olmak üzere grubun tehlikeye attığı hedefler hakkında bilgi aldılar. Bilim, Karaçi HEJ Araştırma Enstitüsü ve SHU Üniversitesi.
Malwarebytes Labs, “Tehdit aktörünün kendi kötü amaçlı yazılımı tarafından yakalanan veriler sayesinde klavyenin arkasında kimin oturduğunu daha iyi anlayabildik” dedi.
“Grup, hem geliştirmek, güncellemeleri zorlamak hem de kurbanlarını kontrol etmek için sanal makineleri ve VPN’leri kullanıyor. Patchwork, diğer Doğu Asya APT’leri gibi, Rus ve Kuzey Koreli meslektaşları kadar karmaşık değil.”
PatchWork operatörleri daha önce hedeflenen ABD düşünce kuruluşları Mart 2018’de, kötü niyetli RTF dosyalarını kurbanlarının sistemlerini ve bir QuasarRAT kötü amaçlı yazılım varyantını tehlikeye atmak için aynı taktiği kullanan birden fazla hedefli kimlik avı kampanyasında.
İki ay önce, Ocak 2018’de gözlendiler BADNEWS kötü amaçlı yazılım dağıtan silahlı belgeleri zorlamak Hindistan alt kıtasındaki hedeflere yönelik saldırılarda.
hedefleyen bir mızrakla kimlik avı kampanyasının da arkasındaydılar. bir Avrupa devlet kuruluşunun çalışanları Mayıs 2016 sonlarında.