APT

Un grupo de ciberespionaje se infecta con su “malware” y es espiado por investigadores de seguridad

El grupo de origen indio PatchWork estuvo infiltrado por investigadores de seguridad de Malwarebytes Labs quienes recogieron información sobre su funcionamiento y el “malware” Ragnatela que usan para sus operaciones

Los investigadores de Malwarebytes pudieron seguir la actividad de PatchWork gracias a que se habían infectado con el mismo troyano que emplean contra sus víctimas.
Los investigadores de Malwarebytes pudieron seguir la actividad de PatchWork gracias a que se habían infectado con el mismo troyano que emplean contra sus víctimas.La RazónCortesía de Chingster23

El Equipo de Inteligencia para Amenazas de la empresa de ciberseguridad Malwarebytes ha publicado un informe sobre la actividad del grupo de ciberdelincuencia de origen indio PatchWork. Los investigadores tuvieron acceso a uno de los equipos de PatchWork gracias a que se había infectado con el mismo “malware” que emplean para acceder a los ordenadores de sus víctimas, lo que les permitió seguir su actividad (realizando capturas y registrando las pulsaciones del teclado) el pasado mes de diciembre y estudiar su modus operandi.

PatchWork es una APT(Advanced Persistent Threat o amenaza persistente avanzada) de origen indio activa desde diciembre de 2015 y que habitualmente ataca objetivos en Pakistán a través de la técnica cibercriminal conocida como “spear phishing”. Esta consiste en ataques de suplantación de identidad dirigidos a personas, organizaciones o empresas específicas; en este caso camuflando el “malware” en documentos de texto con la extensión .RTF que aparentancorresponder a las autoridades pakistaníes.

Captura del panel de inicio de sesión de Ragnatela en uno de los ordenadores del grupo PatchWork.
Captura del panel de inicio de sesión de Ragnatela en uno de los ordenadores del grupo PatchWork.La RazónCortesía de Malwarebytes Labs.

El “malware” utilizado se llama Ragnatela(tela de araña en italiano) y es una variante del troyano de administración remota (RAT) BADNEWS. Este troyano tiene la capacidad de ejecutar comandos en el equipo infectado vía cmd (Símbolo del sistema, la consola de comandos de Windows), realizar capturas de imagen, registrar las pulsaciones del teclado, listar todos los archivos y aplicaciones en el equipo así como descargar y cargar archivos.

Menú de Ragnatela con las distintas opciones que permite ejecutar sobre el equipo infectado.
Menú de Ragnatela con las distintas opciones que permite ejecutar sobre el equipo infectado.La RazónCortesía de Malwarebytes Labs.

Entre las víctimas que Malwarebytes Lab identificó que habían sido comprometidas con éxito por parte de PatchWork se encuentran el Ministerio de Defensa de Pakistán, la Universidad para la Defensa Nacional de Islam Abad, el Centro Internacional de Ciencias Biológicas y Químicas, la Facultad de Bio-Ciencia de la Universidad UVAS de Pakistán, el Instituto de Investigación Química HEJ de la Universidad de Karachi y el área de medicina molecular de la universidad SHU.  Los investigadores destacan el reciente enfoque de PatchWork hacia víctimas relacionadas con la medicina molecular y la biología.

Ragnatela

El troyano Ragnatela fue desarrollado a finales del pasado mes de noviembre, tal y como constataron los investigadores a través de la base de datos del programa en el equipo de PatchWork infectado. Los ciberdelincuentes aprovechan un “exploit” o vulnerabilidad presente en algunas versiones de Office (Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, y Microsoft Office 2016) sin parchear con la actualización de seguridad de noviembre de 2017.

Documento de texto en formato RTF que simula corresponder a un formulario de las autoridades pakistaníes e intenta aprovechar el "exploit", detectado por antivirus.
Documento de texto en formato RTF que simula corresponder a un formulario de las autoridades pakistaníes e intenta aprovechar el "exploit", detectado por antivirus.La RazónCortesía de Malwarebytes Labs.

Ragtanela se camufla en el documento RTF como un objeto OLE (incrustado mediante el protocolo de Microsoft Object Linking and Embedding, OLE) de forma que cuando el documento se abre se comunica con la infraestructura del atacante a través de un servidor localizado en el dominio bgre.kozow.com.

Captura del equipo infectado de PatchWork mientras se inicia sesión en el correo electrónico de una víctima usando la VPN Cyberghost.
Captura del equipo infectado de PatchWork mientras se inicia sesión en el correo electrónico de una víctima usando la VPN Cyberghost.La RazónCortesía de Malwarebytes Labs.

Los investigadores pudieron comprobar que PatchWork usa las VPN´s Cyberghost y VPN Secure para enmascarar sus IP´s y acceder a las cuentas robadas con el troyano. También que el grupo emplea máquinas virtuales para desarrollar, enviar actualizaciones y controlar a sus víctimas. La conclusión final de Malwarebytes Lab sobre PatchWork es que no es un grupo de ciberdelincuentes tan sofisticado como otros de origen ruso y norcoreano.