PatchWork APT-hackare exponerar sina system genom Ragnatela RAT

Advanced Persistent Threat (APT)-grupper är bland de farligaste cyberbrottsorganisationerna. De har vanligtvis en toppmodern malware till sitt förfogande och förlitar sig på mycket avancerad attackmekanik för att penetrera offrets system, utan att lämna några fotspår efter sig. Det verkar dock som att en av de aktiva APT-grupperna de senaste månaderna, PatchWork, har gjort ett stort misstag under sin senaste attack.

PatchWork APT-hackarna hade använt en del av skadlig programvara känd som Ragnatela RAT. De levererar det till offren genom skadliga e-postbilagor, och deras slutliga mål är att få möjligheten att utföra fjärrkommandon, stjäla filer och spionera på sina offer. Men av okänd anledning infekterade hackarna också sina egna system med Ragnatela RAT. Detta kan låta som ett stort problem, men du bör komma ihåg att all intelligens som den här trojanen samlar in skickas till en kommando-och-kontrollserver.

Ragnatela RAT-loggar avslöjade PatchWorks inre funktioner

Servern i fråga komprometterades av säkerhetsforskare och detta i sin tur gjorde det möjligt för dem att spionera på PatchWork-hackerna under en längre tid. Under denna operation kunde säkerhetsexperter samla in mycket information om PatchWorks attacker och den arsenal de har till sitt förfogande. Detta uppnåddes tack vare att man fick skärmdumpar, keylogger-loggar, filer, dokument, kommunikation och mer. Sådan information är otroligt värdefull för skadlig programvara, eftersom den ger dem ett helt nytt perspektiv på hur APT-grupper fungerar.

I det här scenariot verkar det som att PatchWork-hackerna från Östasien inte är lika avancerade från andra högprofilerade APT-grupper som de från Nordkorea och Ryssland. Oavsett de enklare operationerna som PatchWork kör, är deras mål fortfarande mycket högprofilerade. Ragnatela RAT-kampanjen har infekterat system som tillhör det pakistanska försvarsministeriet, såväl som de från olika universitet.