Hakerzy PatchWork APT ujawniają swoje systemy przez Ragnatela RAT

Grupy Advanced Persistent Threat (APT) należą do najniebezpieczniejszych organizacji cyberprzestępczych. Zwykle mają do dyspozycji najnowocześniejsze złośliwe oprogramowanie i polegają na bardzo zaawansowanej mechanice ataku, aby przeniknąć do systemów ofiary bez pozostawiania śladów. Wygląda jednak na to, że jedna z aktywnych grup APT w ostatnich miesiącach, PatchWork, popełniła ogromny błąd podczas ostatniego ataku.

Hakerzy PatchWork APT wykorzystywali złośliwe oprogramowanie znane jako Ragnatela RAT. Dostarczają je ofiarom za pośrednictwem złośliwych załączników do wiadomości e-mail, a ich ostatecznym celem jest uzyskanie możliwości wykonywania zdalnych poleceń, kradzieży plików i szpiegowania swoich ofiar. Jednak z nieznanego powodu hakerzy zainfekowali również własne systemy Ragnatela RAT. Może to brzmieć jak ogromny problem, ale należy pamiętać, że wszystkie informacje zbierane przez tego trojana są wysyłane na serwer dowodzenia i kontroli.

Dzienniki Ragnatela RAT ujawniają wewnętrzne działanie PatchWork

Serwer, o którym mowa, został skompromitowany przez badaczy bezpieczeństwa, co z kolei pozwoliło im na szpiegowanie hakerów PatchWork przez dłuższy czas. Podczas tej operacji eksperci ds. bezpieczeństwa byli w stanie zebrać wiele informacji na temat ataków PatchWorka oraz arsenału, jakim dysponują. Udało się to osiągnąć dzięki pozyskiwaniu zrzutów ekranu, logów keyloggera, plików, dokumentów, komunikacji i nie tylko. Takie informacje są niezwykle cenne dla badaczy szkodliwego oprogramowania, ponieważ dają im zupełnie nowe spojrzenie na sposób działania grup APT.

W tym scenariuszu wydaje się, że hakerzy PatchWork z Azji Wschodniej nie są tak zaawansowani niż inne głośne grupy APT, takie jak te z Korei Północnej i Rosji. Niezależnie od prostszych operacji, które wykonuje PatchWork, ich cele są nadal bardzo głośne. Kampania Ragnatela RAT zainfekowała systemy należące do Ministerstwa Obrony Pakistanu, a także różnych uniwersytetów.