Een spionagegroep die al jaren actief is en vanuit India zou opereren heeft onderzoekers onbedoeld een kijkje in een recente operatie gegeven nadat het per ongeluk een eigen systeem met malware infecteerde. De groep wordt Patchwork genoemd en gebruikte bij de laatste spionagecampagne malafide RTF-documenten om slachtoffers te infecteren. Deze documenten maken misbruik van een uit 2017 stammende kwetsbaarheid in Microsoft Office.
Via de besmette documenten wordt de Badnews RAT (remote administration trojan) geïnstalleerd. Daarmee is het mogelijk om commando’s uit te voeren, screenshots te maken, toetsaanslagen op te slaan en aanvullende malware op het systeem van slachtoffers te installeren. Deze RAT communiceert weer met een server van de aanvallers. Onderzoekers van Malwarebytes vonden het beheerderspaneel van deze RAT.
Zo kregen ze niet alleen inzicht in de slachtoffers van Patchwork, ook zagen ze dat een systeem van de groep per ongeluk besmet was geraakt. Volgens de onderzoekers wisten de aanvallers met hun aanvalscampagne onder andere het ministerie van Defensie van Pakistan te infecteren, alsmede verschillende wetenschappelijke instellingen van het land.
Tevens ontdekten de onderzoekers dat de aanvallers VirtualBox en VMware gebruiken voor webontwikkeling en testing en van vpn-diensten VPN Secure en CyberGhost om hun ip-adres te verbergen. Zo gebruikten de aanvallers deze vpn-diensten om in te loggen op de e-mailaccounts en andere gecompromitteerde accounts van hun slachtoffers. Afsluitend stellen de onderzoekers dat Patchwork niet zo geraffineerd is als Russische of Noord-Koreaanse spionagegroepen.
bron: https://blog.malwarebytes.com/threat-intelligence/2022/01/patchwork-apt-caught-in-its-own-web/