Forscher von Malwarebytes haben eine indische Hackergruppe namens Patchwork detailliert beschrieben, nachdem die Gruppe im Hacking-Flow ihr eigenes System infiziert hatte!
Damit konnten die Forscher die Tastatureingaben, Hacking-Taktiken und Details zu ihrer VPN-Nutzung sowie enttarnte IP-Adressen abgreifen. Patchwork zielt mit der aktualisierten BADNEWS!-Malware auf pakistanische Regierungsstellen ab, die sich mit Molekularmedizin und Biowissenschaften beschäftigen.
Patchwork entschlüsseln
Während es üblich ist, dass einige Hacker-Neulinge ihre Tricks unwissentlich preisgeben, tun dies staatlich unterstützte Hackergruppen nicht, da sie darauf spezialisiert sind, ihre Werke zu verbergen. Dennoch sehen wir hier und da einige von ihnen hinterlassene Schnipsel, die es Forschern ermöglichen, sie aufzuspüren. Und wiederum gibt es Hackergruppen wie Patchworkdie sich einem krassen Irrtum völlig ausgesetzt sahen.
Wie die Forscher von Malwarebytes aufgedeckt haben, ist die Hackergruppe indischen Ursprungs mit dem Namen Patchwork bei der Verfolgung pakistanischer Regierungsbehörden aufgefallen. Patchwork soll seit 2015 im Einsatz sein und wird als Dropping Elephant, Chinastrats von Kaspersky, Quilted Tiger von CrowdStrike Monsoon von Forcepoint, Zinc Emerson, TG-4410 von SecureWorks) und APT-C-09 von Qihoo 360-Teams verfolgt.
Lesen Sie auch Npm Dev zerstört absichtlich Tausende von Projekten
Das Patchwork-Team erhielt seinen Namen, nachdem die Malware-Tools dieser Gruppe größtenteils aus öffentlich verfügbaren Quellen kopiert und eingefügt wurden. Sie verbreiten sich zunächst über Phishing-E-Mails und legen QuasarRAT und eine Backdoor namens BADNEWS in den Systemen der Opfer ab.
In einer erneuten Kampagne, die Patchwork im November 2021 startete, begann die Bande, pakistanische Einrichtungen ins Visier zu nehmen, die in den Bereichen Molekularmedizin und Biowissenschaften tätig sind, vom pakistanischen Verteidigungsministerium, der National Defence University of Islamabad, der Fakultät für Biowissenschaften der UVAS Lahore, dem International Center for Chemical and Biological Sciences (ICCBS), dem HEJ Research Institute of Chemistry und der Salim Habib University (SBU).
Dies geschieht im Namen der Pakistan Defence Officers Housing Authority (DHA), indem ein bösartiger Microsoft Equation Editor gesendet wird, der einen Exploit zum Auslösen der Ragnatela-Nutzlast auf dem Computer des Opfers enthält.
Ragnatela ist eine aktualisierte Version des BADNEWS-Trojaners, mit der Angreifer beliebige Befehle ausführen, Screenshots und Tastatureingaben stehlen sowie Dateien und zusätzliche Schadsoftware ausführen können.
Die Forscher von Malwarebytes erklärten, dass die Patchwork-Bande aufgrund eines Betriebsfehlers ihre eigenen Systeme infiziert habe, wodurch die Taktiken der Hackergruppe aufgedeckt worden seien. Zu diesen gehörten der Einsatz virtueller Maschinen, die Verwendung von zwei Tastaturlayouts (Englisch und Indisch) sowie IP-Adressen von VPNs wie VPN Secure und CyberGhost.