Tehdit avcıları, Kasım 2021 sonlarında başlayan ve moleküler tıp ve biyolojik bilim.
“İronik olarak, topladığımız tüm bilgiler, tehdit aktörünün kendilerine bulaşmaları sayesinde mümkün oldu. [remote access trojan], kendi bilgisayarlarının ve sanal makinelerinin tuş vuruşlarını ve ekran görüntülerini aldılar,” Malwarebytes Tehdit İstihbarat Ekibi söz konusu Cuma günü yayınlanan bir raporda.
Başarılı bir şekilde sızılan önde gelen kurbanlar arasında Pakistan Savunma Bakanlığı, İslamabad Ulusal Savunma Üniversitesi, UVAS Lahore Biyolojik Bilimler Fakültesi, Uluslararası Kimyasal ve Biyolojik Bilimler Merkezi (ICCBS), HEJ Kimya Araştırma Enstitüsü ve Salim Habib Üniversitesi yer alıyor. SBU).
2015 yılından beri aktif olduğuna inanılan, yama işi APT aynı zamanda izlenen Dropping Elephant, Chinastrats (Kaspersky), Quilted Tiger (CrowdStrike), Monsoon (Forcepoint), Zinc Emerson, TG-4410 (SecureWorks) ve APT-C-09 (Qihoo 360) takma adları altındaki daha geniş siber güvenlik topluluğu tarafından.
Öncelikli olarak Pakistan, Çin, ABD’deki düşünce kuruluşları ve Hindistan alt kıtasında bulunan diğer hedeflerdeki hedef odaklı kimlik avı kampanyaları aracılığıyla diplomatik ve devlet kurumlarına saldırmasıyla tanınan casusluk grubu, adını, kodun çoğunun kötü amaçlı yazılımları için kullandığı gerçeğinden alıyor. takımlar, web’de halka açık çeşitli kaynaklardan kopyalanıp yapıştırılmıştır.
Şu anda feshedilmiş İsrail siber güvenlik girişimi Cymmetria’dan araştırmacılar, “Bu tehdit aktörü tarafından kullanılan kod, çeşitli çevrimiçi forumlardan kopyalanarak yapıştırılarak bize bir patchwork yorganı hatırlatıyor” dedi. kayıt edilmiş Temmuz 2016’da yayınlanan bulgularında.
Yıllar boyunca, aktör tarafından sahnelenen ardışık gizli operasyonlar, düşürme ve yürütme girişiminde bulundu. KuasarRAT adlı bir implantın yanı sıra KÖTÜ HABER Bu, saldırganlar için bir arka kapı görevi görerek, onlara kurban makinesi üzerinde tam kontrol sağlar. Ocak 2021’de tehdit grubu da gözlemlenen Microsoft Office’te bir uzaktan kod yürütme güvenlik açığından yararlanma (CVE-2017-0261) yükleri kurban makinelere teslim etmek.
En son kampanya, düşmanın potansiyel hedefleri Pakistan makamlarını taklit eden RTF belgeleriyle cezbetmesi ve sonuçta BADNEWS truva atının Ragnatela adlı yeni bir varyantını – İtalyanca “örümcek ağı” anlamına gelir – dağıtmak için bir kanal görevi görmesi bakımından farklı değil. keyfi komutlar, tuş vuruşlarını ve ekran görüntülerini yakalayın, dosyaları listeleyin ve yükleyin ve ek kötü amaçlı yazılımları indirin.
Pakistan Savunma Memurları İskan Otoritesinden geldiği iddia edilen yeni yemler (DHA) Karachi’de, kurbanın bilgisayarının güvenliğini aşmak ve Ragnatela yükünü yürütmek için tetiklenen Microsoft Denklem Düzenleyicisi için bir istismar içerir.
Ancak OpSec başarısızlığı durumunda, Malwarebytes çift klavye düzeninin (İngilizce ve Hintçe) kullanımı da dahil olmak üzere bir dizi taktiğini ortaya çıkarabildiğinden, tehdit aktörü kendi geliştirme makinesine RAT bulaştırdı. IP adreslerini gizlemek için VPN Secure ve CyberGhost gibi sanal makinelerin ve VPN’lerin benimsenmesi gibi.
Araştırmacılar, “Aynı yemleri ve RAT’ı kullanmaya devam ederken, grup yeni bir tür hedefe ilgi gösterdi” dedi. “Gerçekten de, moleküler tıp ve biyolojik bilim araştırmacılarını hedef alan Patchwork’ü ilk kez gözlemledik.”
.
siber-2
