PatchWork APT įsilaužėliai atskleidžia savo sistemas per Ragnatela RAT

Išplėstinės nuolatinės grėsmės (APT) grupės yra vienos pavojingiausių elektroninių nusikaltimų organizacijų. Paprastai jie disponuoja naujausia kenkėjiška programa ir pasikliauja labai pažangia atakų mechanika, kad įsiskverbtų į aukos sistemas nepalikdami pėdsakų. Tačiau panašu, kad pastaraisiais mėnesiais viena iš aktyvių APT grupių „PatchWork“ per savo paskutinę ataką padarė didžiulę klaidą.

PatchWork APT įsilaužėliai naudojo kenkėjišką programą, žinomą kaip Ragnatela RAT. Jie pateikia jį aukoms per kenkėjiškus el. pašto priedus, o jų galutinis tikslas yra įgyti galimybę vykdyti nuotolines komandas, pavogti failus ir šnipinėti savo aukas. Tačiau dėl nežinomos priežasties įsilaužėliai Ragnatela RAT užkrėtė ir savo sistemas. Tai gali atrodyti kaip didžiulė problema, tačiau turėtumėte atsiminti, kad visa informacija, kurią surenka šis Trojos arklys, siunčiama komandų ir valdymo serveriui.

„Ragnatela RAT Logs“ atskleidė „PatchWork“ vidinius darbus

Aptariamą serverį sukompromitavo saugumo tyrinėtojai, o tai savo ruožtu leido jiems ilgą laiką šnipinėti „PatchWork“ įsilaužėlius. Šios operacijos metu saugumo ekspertai sugebėjo surinkti daug informacijos apie „PatchWork“ atakas ir jų turimą arsenalą. Tai buvo pasiekta gavus ekrano kopijas, klavišų registravimo žurnalus, failus, dokumentus, ryšius ir kt. Tokia informacija yra nepaprastai vertinga kenkėjiškų programų tyrinėtojams, nes suteikia jiems visiškai naują požiūrį į tai, kaip veikia APT grupės.

Pagal šį scenarijų atrodytų, kad PatchWork įsilaužėliai iš Rytų Azijos nėra tokie pažengę iš kitų aukšto lygio APT grupių, tokių kaip Šiaurės Korėjos ir Rusijos. Nepriklausomai nuo paprastesnių operacijų, kurias vykdo PatchWork, jų tikslai vis dar yra labai aukšto lygio. Ragnatela RAT kampanija užkrėtė Pakistano gynybos ministerijai priklausančias sistemas, taip pat įvairių universitetų sistemas.