Il gruppo indiano Patchwork conosciuto anche come Hangover Group, Dropping Elephant, Chinastrats e Monsoon, è sulla scena almeno dal 2015 e sta lanciando attivamente campagne progettate per distribuire RAT a scopo di furto di dati e altre attività dannose.
In uno degli ultimi attacchi il gruppo ha preso di mira singoli docenti di istituti di ricerca specializzati in scienze biomediche e molecolari. Il 7 gennaio, il team di Malwarebytes ha affermato di essere stato in grado di approfondire le attività del gruppo APT (Advanced Persistent Threat) dopo che Patchwork è riuscito a infettare i propri sistemi con la sua stessa creazione RAT, “con conseguente cattura di sequenze di tasti e schermate del proprio computer”.
Patchwork, secondo i ricercatori di sicurezza informatica, si basa in genere su attacchi di spear-phishing, con e-mail personalizzate inviate a obiettivi specifici. Queste e-mail mirano a eliminare i file RTF contenenti il BADNEWS RAT, di cui è stata ora trovata una nuova variante.
L’ultima versione di questo malware, denominata Ragnatela, è stata scritta nel novembre 2021. Il trojan è in grado di acquisire schermate, keylogging, elencare processi del sistema operativo e file macchina, caricare malware ed eseguire payload aggiuntivi.
Patchwork è riuscito a infettare la propria macchina di sviluppo con Ragnatela, quindi i ricercatori sono stati anche in grado di osservarli nell’utilizzo di VirtualBox e macchine virtuali (VM) VMware per condurre test di malware.
Dopo aver esaminato i sistemi di Patchwork, il team ha accertato che Ragnatela è archiviato in file RTF dannosi come OLE, spesso creati per essere comunicazioni ufficiali dalle autorità pakistane. Per eseguire il RAT viene utilizzato un exploit per una nota vulnerabilità di Microsoft Equation Editor.
Sulla base dei pannelli di controllo dell’attaccante, Malwarebytes è stato in grado di indicare il Ministero della Difesa del governo pakistano, l’Università della Difesa Nazionale di Islamabad, la Facoltà di Bioscienze (FBS) dell’Università UVAS, l’Istituto di ricerca HEJ dell’Università di Karachi e il dipartimento di medicina molecolare della SHU University come organizzazioni infiltrate da Patchwork.
“Altre informazioni che si possono ottenere sono che il tempo in quel momento era nuvoloso con 19 gradi e che non hanno ancora aggiornato il loro Java”, ha detto Malwarebytes. “Più seriamente, l’attore della minaccia utilizza VPN Secure e CyberGhost per mascherare il proprio indirizzo IP”.
Questa è la prima volta che il gruppo è stato collegato ad attacchi contro la comunità della ricerca biomedica, il che potrebbe essere indice degli obiettivi prioritari di Patchwork.