Создатели троянского вируса Ragnatela, который может следить за зараженными компьютерами, случайно оказались и его жертвами. Во время атаки вирус попал на машины хакеров и начал выдавать сведения о них специалистам по ИБ-безопасности.
Индийская группировка хакеров PatchWork известна с 2015 года своими атаками на военных и политических деятелей. Разработанная ими вирусная программа Ragnatela способна выполнять удаленные команды хакеров, перехватывать нажатия клавиш, собирать конфиденциальную информацию и делать скриншоты.
Команды Ragnatela. Изображение: blog.malwarebytes.com
Как сообщает Malwarebytes Labs, последняя кампания PatchWork была запущена в ноябре-декабре 2021 года. В ходе нее преступники выдавали себя за представителей пакистанских властей, присылали фишинговые письма и заражали системы своих жертв вирусом Ragnatela. Однако во время этой атаки RAT-малварь случайно попала и на компьютеры самих хакеров, отчего все их действия стали видны специалистам Malwarebytes Labs, которые занимаются вопросами кибербезопасности. Все это позволило понять, как группировка PatchWork организует свои атаки:
«Мы видим, что они используют как VirtualBox, так и VMware для веб-разработки и тестирования. Их основной хост имеет две раскладки клавиатуры (английскую и индийскую). <...> Они использует VPN Secure и CyberGhost для маскировки своего IP-адреса, а под VPN входят в электронную почту своей жертвы», – отмечают эксперты Malwarebytes Labs.
Также удалось выяснить, какие объекты были целями хакеров. Среди них Министерство обороны Пакистана, Национальный университет обороны в Исламабаде, а также Международный центр химических и биологических наук (ICCBS).
Комментарии