Hacker von PatchWork APT legen ihre Systeme durch Ragnatela RAT offen
Advanced Persistent Threat (APT)-Gruppen gehören zu den gefährlichsten Organisationen der Cyberkriminalität. Sie verfügen normalerweise über eine hochmoderne Malware und verlassen sich auf sehr fortschrittliche Angriffsmechanismen, um in die Systeme ihrer Opfer einzudringen, ohne Spuren zu hinterlassen. Es scheint jedoch, dass eine der aktiven APT-Gruppen der letzten Monate, PatchWork, bei ihrem letzten Angriff einen großen Fehler gemacht hat.
Die Hacker von PatchWork APT hatten eine Malware namens Ragnatela RAT verwendet. Sie liefern es den Opfern über bösartige E-Mail-Anhänge, und ihr Endziel ist es, die Fähigkeit zu erlangen, Remote-Befehle auszuführen, Dateien zu stehlen und ihre Opfer auszuspionieren. Aus unbekanntem Grund infizierten die Hacker jedoch auch ihre eigenen Systeme mit der Ragnatela RAT. Dies mag nach einem großen Problem klingen, aber Sie sollten bedenken, dass alle Informationen, die dieser Trojaner sammelt, an einen Command-and-Control-Server gesendet werden.
Ragnatela RAT Logs enthüllten das Innenleben von PatchWork
Der betreffende Server wurde von Sicherheitsforschern kompromittiert, was es ihnen wiederum ermöglichte, die PatchWork-Hacker über einen längeren Zeitraum auszuspionieren. Während dieser Operation konnten Sicherheitsexperten viele Informationen über die Angriffe von PatchWork und das ihnen zur Verfügung stehende Arsenal sammeln. Dies wurde durch das Erhalten von Screenshots, Keylogger-Protokollen, Dateien, Dokumenten, Kommunikation und mehr erreicht. Solche Informationen sind für Malware-Forscher unglaublich wertvoll, da sie ihnen eine völlig neue Perspektive auf die Funktionsweise von APT-Gruppen geben.
In diesem Szenario scheint es, dass die PatchWork-Hacker aus Ostasien nicht so weit fortgeschritten sind wie andere hochkarätige APT-Gruppen wie die aus Nordkorea und Russland. Ungeachtet der einfacheren Operationen, die PatchWork ausführt, sind ihre Ziele immer noch sehr bekannt. Die Ragnatela-RAT-Kampagne hat Systeme des pakistanischen Verteidigungsministeriums sowie die verschiedener Universitäten infiziert.