Los ciberespías se infectan con su propio malware

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Después de infectarse con su propio troyano de acceso remoto personalizado (RAT), un grupo de ciberespionaje vinculado a la India ha expuesto accidentalmente sus operaciones a los investigadores de seguridad.

El actor de amenazas ha estado activo desde al menos diciembre de 2015 y se le rastrea como PatchWork (también conocido como Dropping Elephant, Chinastrats o Quilted Tiger) debido al uso de código copiado y pegado.

Durante la campaña más reciente de PatchWork, entre fines de noviembre y principios de diciembre de 2021, Malwarebytes Labs observó a los actores de amenazas que usaban documentos RTF maliciosos haciéndose pasar por autoridades paquistaníes para infectar objetivos con una nueva variante de BADNEWS RAT, conocida como Ragnatela.

Ragnatela RAT permite a los actores de amenazas ejecutar comandos, capturar instantáneas de pantalla, registrar pulsaciones de teclas, recopilar archivos confidenciales y una lista de aplicaciones en ejecución, implementar cargas útiles adicionales y cargar archivos.

"Irónicamente, toda la información que recopilamos fue posible gracias a que el actor de amenazas se infectó con su propia RAT, lo que resultó en pulsaciones de teclas capturadas y capturas de pantalla de su propia computadora y máquinas virtuales", explicó el equipo de inteligencia de amenazas de Malwarebytes Labs.


Después de descubrir que los operadores de PatchWork infectaron sus propios sistemas de desarrollo con RAT, los investigadores pudieron monitorearlos mientras usaban VirtualBox y VMware para pruebas y desarrollo web y pruebas en computadoras con diseños de teclado duales (es decir, inglés e indio).


Mientras observaban sus operaciones, también obtuvieron información sobre los objetivos que el grupo comprometió, incluido el Ministerio de Defensa de Pakistán y miembros de la facultad de los departamentos de medicina molecular y ciencias biológicas en varias universidades, como la Universidad de Defensa Nacional de Islam Abad, la Facultad de Biotecnología de la Universidad UVAS. Science, el Instituto de Investigación Karachi HEJ y la Universidad SHU.

"Gracias a los datos capturados por el propio malware del actor de amenazas, pudimos comprender mejor quién se sienta detrás del teclado", agregó Malwarebytes Labs.


"El grupo utiliza máquinas virtuales y VPN para desarrollar, enviar actualizaciones y verificar a sus víctimas. Patchwork, como otras APT de Asia oriental, no es tan sofisticado como sus contrapartes rusas y norcoreanas".

Los operadores de PatchWork se dirigieron previamente a los think tanks de EE. UU. en marzo de 2018 en múltiples campañas de phishing selectivo utilizando la misma táctica de enviar archivos RTF maliciosos para comprometer los sistemas de sus víctimas y una variante de malware QuasarRAT.

Dos meses antes, en enero de 2018, se les observó empujando documentos armados que entregaban malware BADNEWS en ataques contra objetivos del subcontinente indio.

También estuvieron detrás de una campaña de phishing dirigido a empleados de una organización gubernamental europea a finales de mayo de 2016.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta