Хакеры PatchWork APT раскрывают свои системы через Ragnatela RAT

Группы Advanced Persistent Threat (APT) являются одними из самых опасных киберпреступных организаций. Как правило, в их распоряжении самые современные вредоносные программы, и они полагаются на очень продвинутую механику атаки, чтобы проникнуть в системы своих жертв, не оставив никаких следов. Однако похоже, что одна из активных в последние месяцы APT-групп, PatchWork, совершила огромную ошибку во время своей последней атаки.

Хакеры PatchWork APT использовали вредоносное ПО, известное как Ragnatela RAT. Они доставляют его жертвам через вредоносные вложения электронной почты, и их конечная цель — получить возможность выполнять удаленные команды, красть файлы и шпионить за своими жертвами. Однако по неизвестной причине хакеры заразили Ragnatela RAT и свои собственные системы. Это может показаться огромной проблемой, но вы должны помнить, что все сведения, которые собирает этот троянец, отправляются на командно-контрольный сервер.

Журналы Ragnatela RAT раскрывают внутреннюю работу PatchWork

Рассматриваемый сервер был скомпрометирован исследователями безопасности, что, в свою очередь, позволило им в течение длительного периода времени следить за хакерами PatchWork. В ходе этой операции специалисты по безопасности смогли собрать много информации об атаках PatchWork и имеющемся у них арсенале. Это было достигнуто благодаря получению скриншотов, журналов кейлоггеров, файлов, документов, общения и многого другого. Такая информация невероятно ценна для исследователей вредоносных программ, поскольку она дает им совершенно новый взгляд на то, как работают группы APT.

В этом сценарии может показаться, что хакеры PatchWork из Восточной Азии не так продвинуты, как другие известные APT-группы, такие как из Северной Кореи и России. Несмотря на более простые операции, которые выполняет PatchWork, их цели по-прежнему очень важны. Кампания Ragnatela RAT заразила системы, принадлежащие Министерству обороны Пакистана, а также различные университеты.