PatchWork APT Hackere avslører systemene sine gjennom Ragnatela RAT

Advanced Persistent Threat (APT)-grupper er blant de farligste nettkriminalitetsorganisasjonene. De har vanligvis en toppmoderne skadevare til rådighet, og er avhengige av svært avansert angrepsmekanikk for å trenge inn i offerets systemer, uten å etterlate noen fotavtrykk. Imidlertid ser det ut til at en av de aktive APT-gruppene de siste månedene, PatchWork, har gjort en stor feil under sitt siste angrep.

PatchWork APT-hackerne hadde brukt et stykke skadelig programvare kjent som Ragnatela RAT. De leverer det til ofre gjennom ondsinnede e-postvedlegg, og deres endelige mål er å få muligheten til å utføre eksterne kommandoer, stjele filer og spionere på ofrene deres. Men av en ukjent grunn infiserte hackerne også sine egne systemer med Ragnatela RAT. Dette kan høres ut som et stort problem, men du bør huske at all etterretning som denne trojaneren samler blir sendt til en kommando-og-kontroll-server.

Ragnatela RAT-logger avslørte PatchWorks indre funksjoner

Den aktuelle serveren ble kompromittert av sikkerhetsforskere, og dette tillot dem i sin tur å spionere på PatchWork-hackerne i en lengre periode. Under denne operasjonen kunne sikkerhetseksperter samle mye informasjon om PatchWorks angrep, og arsenalet de har til disposisjon. Dette ble oppnådd takket være innhenting av skjermbilder, keylogger-logger, filer, dokumenter, kommunikasjon og mer. Slik informasjon er utrolig verdifull for skadevareforskere, siden den gir dem et helt nytt perspektiv på hvordan APT-grupper opererer.

I dette scenariet ser det ut til at PatchWork-hackerne fra Øst-Asia ikke er like avanserte fra andre høyprofilerte APT-grupper som de fra Nord-Korea og Russland. Uavhengig av de enklere operasjonene som PatchWork kjører, er målene deres fortsatt svært høyprofilerte. Ragnatela RAT-kampanjen har infisert systemer som tilhører det pakistanske forsvarsdepartementet, så vel som de fra forskjellige universiteter.