Ragnatela RAT

До Mezo през Advanced Persistent Threat (APT), Remote Administration Toolsг

Превод на:

Ragnatela RAT е нов троянски кон за отдалечен достъп с разширени възможности. След анализ на заплахата, изследователите на infosec установиха, че това е нов вариант, базиран на досега известния BADNEWS RAT . Ragnatela е оборудвана с голям набор от натрапчиви възможности, позволяващи на нападателите да изпълнят и двете схеми за кибершпионаж или да ескалират атаката, за да отговарят на текущите си цели. Като такъв, RAT може да установява рутинни програми за записване на клавиатура и заснемане на екрана, да изпълнява произволни команди в системата, да насочва избрани файлове и да ги предава на нападателите, да извлича и инициира допълнителни заплашителни полезни товари и др.

Рагнатела и PatchWork

Ragnatela RAT се приписва и наблюдава като част от операциите за атака, извършвани от установената APT група PatchWork . Заплахата беше скрита и разгърната чрез въоръжени RTF документи, които действаха като примамка за набелязаните жертви, представяйки се, че са свързани с пакистанските власти.

Смята се, че хакерите на PatchWork имат връзки с Индия и обикновено участват в кражба на данни и операции за кибершпионаж. Общността на infosec също проследява тази група под имената Dropping Elephant, Chinastrats или Quilted Tiger. Кампанията им се проведе между ноември и декември 2021 г. и беше разкрита от експертите на infosec единствено заради Рагнатела RAT.

Хакерите не успяха да защитят собствените си компютридостатъчно и са се заразили с RATслучайно. Този инцидент засилва аргумента, че източноазиатските APT работят на по-малко сложно ниво от техните колеги от Русия или Северна Корея.

Жертви и минали атаки

По време на операцията Ragnatela, PatchWork успя да компрометира няколко високопрофилни цели. Той зарази Министерството на отбраната на Пакистан, както и няколко преподаватели от различни университети, работещи в областта на молекулярната медицина и биологичните науки. Жертвите са от университета UVAS, университета SHU, изследователския институт в Карачи HEJ и Националния университет за отбрана на Ислям Абад.

В миналото PatchWork беше насочена към организации от цял свят. През март 2018 г. групата проведе множество кампании за фишинг срещу няколко американски мозъчни тръста, докато през 2016 г. те преследваха служители на европейска правителствена организация. Отново през 2018 г. PatchWork използва повредени документи, носещи BADNEWS RAT, срещу множество цели в Южна Азия.