Индийская АРТ допустила промах, заразив собственные системы бэкдором

Благодаря этому эксперты получили представление об операциях группировки.

Индийская АРТ допустила промах, заразив собственные системы бэкдором

Индийская киберпреступная группировка Patchwork (также известная как Dropping Elephant и Chinastrats) использовала новый вариант бэкдора BADNEWS в ходе одной из вредоносных кампаний. В ходе кампании хакеры случайно заразили один из своих компьютеров вредоносным ПО, что позволило исследователям в области кибербезопасности получить представление об их операциях.
Patchwork действует по крайней мере с 2015 года и известна атаками на военных и политических деятелей по всему миру, уделяя особое внимание организациям в Пакистане.
В ноябре и декабре 2021 года, как отметили специалисты из Malwarebytes, хакеры осуществили атаки на исследователей в области молекулярной медицины и биологических наук. Кампания характеризовалась использованием нового варианта трояна для удаленного доступа BADNEWS под названием Ragnatela. Для распространения вредоносных программ злоумышленники использовали фишинговые электронные письма с вредоносными RTF-файлами, отправленные якобы от пакистанских властей.
После установки Ragnatela позволяет злоумышленникам выполнять команды, перечислять файлы в системе, составлять список запущенных приложений, делать снимки экрана, регистрировать нажатия клавиш, загружать дополнительные полезные нагрузки и файлы.
В ходе кампании злоумышленники успешно скомпрометировали несколько организаций, в том числе пользователей в Министерстве обороны Пакистана, Национальном университете обороны в Исламабаде, факультете биологических наук Университета UVAS, Международном центре химических и биологических наук в Университете Карачи и Университете Салима Хабиба.
Из-за ошибки киберпреступники также заразили свою компьютерную систему новым RAT, предоставив ИБ-экспертам возможность узнать более подробную информацию об инструментах, которые использует APT.
«Группировка использует виртуальные машины и VPN для разработки, отправки обновлений и проверки систем своих жертв. Patchwork, как и некоторые другие восточноазиатские APT, не такие сложные, как их российские и северокорейские аналоги», — отметили эксперты.

SECURITYLAB.RU

Источник