KABAR BURUK! Peretas APT Patchwork Mencetak Gol Sendiri dalam Serangan Malware Terbaru

  • Whatsapp
KABAR BURUK!  Peretas APT Patchwork Mencetak Gol Sendiri dalam Serangan Malware Terbaru
KABAR BURUK Peretas APT Patchwork Mencetak Gol Sendiri dalam Serangan

News.nextcloud.asia –

Pemburu ancaman telah menjelaskan taktik, teknik, dan prosedur yang dianut oleh kelompok peretasan asal India bernama Patchwork sebagai bagian dari kampanye baru yang dimulai pada akhir November 2021, menargetkan entitas dan individu pemerintah Pakistan dengan fokus penelitian pada kedokteran molekuler dan ilmu biologi.

“Ironisnya, semua informasi yang kami kumpulkan dimungkinkan berkat aktor ancaman yang menginfeksi diri mereka sendiri [remote access trojan], menghasilkan penekanan tombol dan tangkapan layar yang diambil dari komputer dan mesin virtual mereka sendiri,” Tim Intelijen Ancaman Malwarebytes dikatakan dalam sebuah laporan yang diterbitkan pada hari Jumat.

Korban utama yang berhasil disusupi termasuk Kementerian Pertahanan Pakistan, Universitas Pertahanan Nasional Islamabad, Fakultas Bio-Ilmu di UVAS Lahore, Pusat Internasional untuk Ilmu Kimia dan Biologi (ICCBS), Institut Penelitian Kimia HEJ, dan Universitas Salim Habib ( SBU).

Pencadangan GitHub Otomatis

Diyakini telah aktif sejak tahun 2015, Patchwork APT juga dilacak oleh komunitas keamanan siber yang lebih luas di bawah moniker Dropping Elephant, Chinastrats (Kaspersky), Quilted Tiger (CrowdStrike), Monsoon (Forcepoint), Zinc Emerson, TG-4410 (SecureWorks), dan APT-C-09 (Qihoo 360).

Kelompok spionase, terutama dikenal karena menyerang badan-badan diplomatik dan pemerintah di Pakistan, Cina, think tank AS, dan target lain yang terletak di anak benua India melalui kampanye spear-phishing, mendapatkan namanya dari fakta bahwa sebagian besar kode yang digunakan untuk malware-nya. perkakas disalin dan ditempelkan dari berbagai sumber yang tersedia untuk umum di web.

“Kode yang digunakan oleh aktor ancaman ini disalin dari berbagai forum online, dengan cara yang mengingatkan kita pada selimut tambal sulam,” peneliti dari startup cybersecurity Israel Cymmetria yang sekarang sudah tidak berfungsi. dicatat dalam temuannya yang diterbitkan pada Juli 2016.

Selama bertahun-tahun, operasi rahasia berturut-turut yang dilakukan oleh aktor tersebut telah berusaha untuk dihentikan dan dijalankan QuasarRAT serta implan bernama KABAR BURUK yang bertindak sebagai pintu belakang bagi penyerang, memberi mereka kendali penuh atas mesin korban. Pada Januari 2021, kelompok ancaman juga diamati mengeksploitasi kerentanan eksekusi kode jarak jauh di Microsoft Office (CVE-2017-0261) untuk mengirimkan muatan pada mesin korban.

Mencegah Pelanggaran Data

Kampanye terbaru tidak berbeda dalam hal musuh memikat target potensial dengan dokumen RTF yang meniru otoritas Pakistan yang pada akhirnya bertindak sebagai saluran untuk menyebarkan varian baru trojan BADNEWS yang disebut Ragnatela — yang berarti “jaring laba-laba” dalam bahasa Italia — memungkinkan operator untuk mengeksekusi perintah sewenang-wenang, menangkap penekanan tombol dan tangkapan layar, membuat daftar dan mengunggah file, dan mengunduh malware tambahan.

Umpan baru, yang diklaim berasal dari Otoritas Perumahan Perwira Pertahanan Pakistan (telah memberi) di Karachi, berisi exploit untuk Microsoft Equation Editor yang dipicu untuk mengkompromikan komputer korban dan menjalankan muatan Ragnatela.

Namun dalam kasus kegagalan OpSec, pelaku ancaman juga akhirnya menginfeksi mesin pengembangan mereka sendiri dengan RAT, karena Malwarebytes mampu mengungkap sejumlah taktiknya, termasuk penggunaan tata letak keyboard ganda (Inggris dan India) juga. sebagai adopsi mesin virtual dan VPN seperti VPN Secure dan CyberGhost untuk menyembunyikan alamat IP mereka.

“Sementara mereka terus menggunakan umpan dan RAT yang sama, kelompok tersebut telah menunjukkan minat pada jenis target baru,” para peneliti menyimpulkan. “Memang, ini adalah pertama kalinya kami mengamati Patchwork yang menargetkan peneliti kedokteran molekuler dan ilmu biologi.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.