PatchWork APTハッカーは、RagnatelaRATを介してシステムを公開します
Advanced Persistent Threat(APT)グループは、最も危険なサイバー犯罪組織の1つです。彼らは通常、最先端のマルウェアを自由に利用でき、足跡を残さずに被害者のシステムに侵入するために非常に高度な攻撃メカニズムに依存しています。ただし、ここ数か月のアクティブなAPTグループの1つであるPatchWorkは、前回の攻撃で大きな間違いを犯したようです。
PatchWork APTハッカーは、RagnatelaRATと呼ばれるマルウェアを使用していました。彼らは悪意のある電子メールの添付ファイルを介して被害者にそれを配信し、彼らの最終的な目標は、リモートコマンドを実行し、ファイルを盗み、被害者をスパイする能力を獲得することです。ただし、理由は不明ですが、ハッカーは自分のシステムをRagnatelaRATに感染させました。これは大きな問題のように聞こえるかもしれませんが、このトロイの木馬が収集するすべてのインテリジェンスはコマンドアンドコントロールサーバーに送信されることを覚えておく必要があります。
RagnatelaRATログはPatchWorkの内部動作を明らかにしました
問題のサーバーはセキュリティ研究者によって侵害され、これにより、彼らはPatchWorkハッカーを長期間スパイすることができました。この操作中に、セキュリティの専門家は、PatchWorkの攻撃、および彼らが自由に使える武器について多くの情報を収集することができました。これは、スクリーンショット、キーロガーログ、ファイル、ドキュメント、通信などを取得したおかげで達成されました。このような情報は、APTグループの運用方法に関するまったく新しい視点をマルウェア研究者に提供するため、マルウェア研究者にとって非常に価値があります。
このシナリオでは、東アジアのPatchWorkハッカーは、北朝鮮やロシアなどの他の著名なAPTグループほど進んでいないように見えます。 PatchWorkが実行するより単純な操作に関係なく、それらのターゲットは依然として非常に注目を集めています。 Ragnatela RATキャンペーンは、パキスタン国防省に属するシステムだけでなく、さまざまな大学のシステムにも感染しています。