Malwarebytes-forskare har specificerat en indisk hackningsgrupp vid namn Patchwork efter att gruppen infekterat sitt eget system i hackningsflödet!
Från det kunde forskarna få tangenttryckningar, hackingtaktik och detaljer om deras VPN-användning och demaskerade IP-adresser. Patchwork ses riktat mot Pakistans statliga enheter som arbetar med molekylär medicin och biologisk vetenskap, genom uppdaterade BADNEWS! skadlig programvara.
Avkodning av patchwork
Även om det är vanligt att få noob-hackers avslöjar sina trick omedvetet, gör inte statsstödda hackare det eftersom de är specialiserade på att dölja sina verk. Ändå ser vi några utdrag som lämnats av dem här och där, som låter forskare spåra dem. Och återigen, det finns hackinggrupper som Patchworksom blottade sig helt i ett brett misstag.
Som avslöjats av Malwarebytes-forskareden indiska hackningsgruppen som heter Patchwork, har avslöjat sig själv i jakten på att hacka pakistanska regeringsenheter. Patchwork sägs vara i drift sedan 2015 och spåras som Dropping Elephant, Chinastrats av Kaspersky, Quilted Tiger av CrowdStrike Monsoon av Forcepoint, Zinc Emerson, TG-4410 av SecureWorks) och APT-C-09 av Qihoo 360-team.
Läs också- Npm Dev bryter avsiktligt tusentals projekt
Patchwork-teamet fick sitt namn efter att skadlig programvara i den här gruppen oftast kopieras in från allmänt tillgängliga källor. De sprids genom nätfiske-e-postmeddelanden som den första vektorn och släpper QuasarRAT och en bakdörr som heter BADNEWS i offrens system.
I en förnyad kampanj som startades av Patchwork i november 2021 började gänget rikta in sig på pakistanska enheter som arbetar med forskare inom molekylär medicin och biologisk vetenskap, från Pakistans försvarsministerium, National Defense University of Islamabad, Fakulteten för biovetenskap vid UVAS Lahore, International Center for Chemical and Biological Sciences (ICCBS), HEJ Research Institute of Chemistry och Salim Habib University (SBU).
Detta görs i namn av Pakistan Defence Officers Housing Authority (DHA), genom att skicka en skadlig Microsoft Equation Editor som innehåller en exploatering för att utlösa Ragnatela nyttolasten i offrets dator.
Ragnatela är en uppdaterad version av BADNEWS-trojanen, som låter angriparna köra godtyckliga kommandon, stjäla skärmdumpar och tangenttryckningar och köra filer och ytterligare skadlig programvara.
Malwarebytes-forskare sa att i ett operativt misslyckande har Patchwork-gänget infekterat sina egna system, vilket resulterat i att hackargruppens taktik har avslöjats, vilket inkluderar antagande av virtuella maskiner, användning av dubbla tangentbordslayouter (engelska och indiska) och IP-adresser från VPN som VPN Secure och CyberGhost.