تصيب مجموعة القرصنة الهندية باتشورك نفسها من خلال الوصول عن بعد إلى حصان طروادة

استغل الباحثون الفرصة التي أحدثها الخطأ.

أطلق عليها اسم Patchwork من قبل Malwarebytes وتعقبها تحت أسماء بما في ذلك Hangover Group و Dropping Elephant و Chinastrats و Monsoon ، كانت المجموعة الهندية موجودة في الساحة منذ عام 2015 على الأقل وهي تطلق بنشاط حملات مصممة لنشر RATs لأغراض سرقة البيانات وغيرها من الخبيثة أنشطة.

في واحدة من أحدث موجات الهجوم المرتبطة بـ Patchwork ، استهدفت المجموعة أعضاء هيئة التدريس الفرديين من المؤسسات البحثية المتخصصة في العلوم الطبية الحيوية والجزيئية.

في 7 يناير ، قال فريق Malwarebytes إنه كان قادرًا على الخوض في أنشطة مجموعة التهديد المستمر المتقدم (APT) بعد أن تمكنت Patchwork من إصابة أنظمتها الخاصة بإنشاء RAT الخاص بها ، "مما أدى إلى تسجيل ضربات المفاتيح ولقطات الشاشة لأجهزة الكمبيوتر الخاصة بهم والافتراضية آلات. "

وفقًا لباحثي الأمن السيبراني ، يعتمد Patchwork عادةً على هجمات التصيد بالرمح ، مع إرسال رسائل بريد إلكتروني مخصصة إلى أهداف محددة. تهدف رسائل البريد الإلكتروني هذه إلى إسقاط ملفات RTF التي تحتوي على BADNEWS RAT ، والتي تم العثور على متغير جديد منها الآن.

تم تجميع أحدث إصدار من هذا البرنامج الضار ، الذي يطلق عليه اسم Ragnatela ، في نوفمبر 2021. إن حصان طروادة قادر على التقاط لقطات الشاشة ، وتسجيل لوحة المفاتيح ، وإدراج عمليات نظام التشغيل وملفات الجهاز ، وتحميل البرامج الضارة ، وتنفيذ حمولات إضافية.

بعد فحص أنظمة Patchwork ، تأكد الفريق من تخزين Ragnatela في ملفات RTF ضارة ككائنات OLE ، وغالبًا ما يتم تصميمها لتكون اتصالًا رسميًا من السلطات الباكستانية. يتم استخدام استغلال لثغرة أمنية معروفة في محرر معادلات Microsoft لتنفيذ RAT.

استنادًا إلى لوحات تحكم المهاجم ، كان Malwarebytes قادرًا على تسمية وزارة الدفاع التابعة للحكومة الباكستانية ، وجامعة الدفاع الوطني في إسلام أباد ، وكلية العلوم الحيوية (FBS) في جامعة UVAS ، ومعهد أبحاث HEJ في جامعة كراتشي ، و قسم الطب الجزيئي في جامعة SHU كمؤسسات تم اختراقها بواسطة Patchwork.

تمكنت Patchwork من إصابة آلة التطوير الخاصة بها باستخدام Ragnatela ، وبالتالي تمكن الباحثون أيضًا من رؤيتهم وهم يستخدمون الأجهزة الافتراضية VirtualBox و VMware (VMs) لإجراء اختبار البرامج الضارة.

وقال Malwarebytes "المعلومات الأخرى التي يمكن الحصول عليها هي أن الطقس في ذلك الوقت كان غائمًا بدرجة 19 درجة وأنهم لم يحدّثوا جافا الخاص بهم بعد". "في ملاحظة أكثر جدية ، يستخدم ممثل التهديد VPN Secure و CyberGhost لإخفاء عنوان IP الخاص به."

هذه هي المرة الأولى التي يتم فيها ربط المجموعة بهجمات ضد مجتمع الأبحاث الطبية الحيوية ، مما قد يشير إلى وجود محور في أهداف Patchwork ذات الأولوية.