Работа индийской группы хакеров была раскрыта после того, как она заразила свою собственную среду разработки трояном удаленного доступа (RAT).
Получившая название “Dubbed Patchwork” от Malwarebytes и отслеживаемая под такими именами, как Hangover Group, Dropping Elephant, Chinastrats и Monsoon, индийская хакерская группировка существует как минимум с 2015 года и активно запускает кампании, предназначенные для развертывания RATS в целях кражи данных и других действий наносящих вред инфраструктурам.
В одной из последних волн атак, связанных с Patchwork, группа нацелилась на некоторых преподавателей из исследовательских институтов, специализирующихся в области биомедицинских и молекулярных наук.
7 января команда Malwarebytes заявила, что смогла разузнать планы Patchwork (APT) после того, как хакерам удалось заразить свои собственные системы с помощью своего же разработанного RAT, «что привело к перехвату нажатых клавиш и скриншотов их собственного компьютера и виртуальной машины».
По словам исследователей в области кибербезопасности, Patchwork, как правило, использует целевые фишинговые атаки, когда специальные электронные письма отправляются не всем подряд а конкретным целям. Эти электронные письма направлены на удаление RTF-файлов, содержащих BADNEWS RAT, новый вариант которого теперь обнаружен.
Последняя версия этой вредоносной программы, получившая название Ragnatela, была скомпилирована в ноябре 2021 года. Троянец способен делать скриншоты, кейлоггить, перечислять процессы ОС и машинные файлы, загружать вредоносное ПО и выполнять дополнительную нагрузку на ресурсы компьютера.
Изучив системы Patchwork, команда установила, что Ragnatela хранится во вредоносных RTF-файлах как OLE-объекты, часто созданные для официальных сообщений пакистанских властей. Для запуска RAT используется эксплойт для известной уязвимости Microsoft Equation Editor.
Основываясь на полученных данных, Malwarebytes смогла назвать в списке целей: министерство обороны пакистанского правительства, Национальный университет обороны Исламабада, факультет биологических наук (FBS) в Университете UVAS, Исследовательский институт HEJ в Университете Карачи и отделение молекулярной медицины в Университете SHU как организации, уже столкнувшиеся с Patchwork.
Patchwork удалось заразить свою собственную машину для разработки с помощью Ragnatela, поэтому исследователи также смогли увидеть, как они используют виртуальные машины (ВМ) VirtualBox и VMware (ВМ) для тестирования вредоносных программ.
«Другая информация, полученная с компьютеров злоумышленником, была менее важной но и не совсем бесполезной, стало известно что погода в то время была облачной с температурой 19 градусов и что они еще не обновили свою Java», — сообщили в Malwarebytes. «Если говорить более серьезно, злоумышленники используют VPN Secure и CyberGhost для маскировки своих IP-адресов».
Это первый раз, когда группа была связана с атаками на биомедицинское исследовательское сообщество, что может указывать на достаточно крутой поворот в приоритетных целях Patchwork.