PatchWork APT Hackere afslører deres systemer gennem Ragnatela RAT

Advanced Persistent Threat (APT)-grupper er blandt de farligste cyberkriminalitetsorganisationer. De har normalt en avanceret malware til deres rådighed, og de er afhængige af meget avanceret angrebsmekanik til at trænge ind i deres ofres systemer uden at efterlade fodspor. Det ser dog ud til, at en af de aktive APT-grupper i de seneste måneder, PatchWork, har begået en kæmpe fejl under deres sidste angreb.

PatchWork APT hackerne havde brugt et stykke malware kendt som Ragnatela RAT. De leverer det til ofre gennem ondsindede vedhæftede filer, og deres endelige mål er at få muligheden for at udføre fjernkommandoer, stjæle filer og spionere på deres ofre. Men af en ukendt årsag inficerede hackerne også deres egne systemer med Ragnatela RAT. Dette lyder måske som et stort problem, men du skal huske, at al intelligens, som denne trojaner indsamler, sendes til en kommando-og-kontrol-server.

Ragnatela RAT-logs afslørede PatchWorks indre funktioner

Den pågældende server blev kompromitteret af sikkerhedsforskere, og det gav dem igen mulighed for at spionere på PatchWork-hackerne i en længere periode. Under denne operation var sikkerhedseksperter i stand til at indsamle en masse information om PatchWorks angreb, og det arsenal, de har til deres rådighed. Dette blev opnået takket være at få skærmbilleder, keylogger-logfiler, filer, dokumenter, kommunikation og mere. Sådan information er utrolig værdifuld for malware-forskere, da den giver dem et helt nyt perspektiv på, hvordan APT-grupper fungerer.

I dette scenarie ser det ud til, at PatchWork-hackerne fra Østasien ikke er så avancerede fra andre højprofilerede APT-grupper som dem fra Nordkorea og Rusland. Uanset de enklere operationer, som PatchWork kører, er deres mål stadig meget højprofilerede. Ragnatela RAT-kampagnen har inficeret systemer, der tilhører det pakistanske forsvarsministerium, såvel som systemer fra forskellige universiteter.