Ragnatela RAT

Ragnatela RAT je novi trojanac za daljinski pristup s naprednim mogućnostima. Nakon analize prijetnje, istraživači infosec-a su utvrdili da se radi o novoj varijanti temeljenoj na prethodno poznatom BADNEWS RAT-u . Ragnatela je opremljena širokim rasponom intruzivnih mogućnosti koje napadačima omogućuju da izvedu obje sheme kibernetičke špijunaže ili da eskaliraju napad kako bi zadovoljili svoje trenutne ciljeve. Kao takav, RAT može uspostaviti rutine keylogginga i snimanja zaslona, izvršavati proizvoljne naredbe na sustavu, ciljati odabrane datoteke i prenositi ih napadačima, dohvatiti i pokrenuti dodatne prijeteće podatke i još mnogo toga.

Ragnatela i PatchWork

Ragnatela RAT se pripisuje i promatra kao dio napadačkih operacija koje provodi uspostavljena APT grupa PatchWork . Prijetnja je skrivena i raspoređena kroz naoružane RTF dokumente koji su djelovali kao mamac za ciljane žrtve predstavljajući se da su povezani s pakistanskim vlastima.

Vjeruje se da su hakeri PatchWorka povezani s Indijom i obično su uključeni u krađu podataka i operacije cyber špijunaže. Zajednica infosec također prati ovu grupu pod imenima Dropping Elephant, Chinastrats ili Quilted Tiger. Njihova se kampanja odvijala između studenog i prosinca 2021. godine, a otkrili su je stručnjaci infoseca isključivo zbog Ragnatele RAT-a.

Hakeri nisu uspjeli zaštititi vlastita računala dovoljno i zarazili se RAT-om slučajno. Ovaj incident pojačava argument da istočnoazijski APT djeluju na manje sofisticiranoj razini od svojih kolega iz Rusije ili Sjeverne Koreje.

Žrtve i prošli napadi

Tijekom operacije Ragnatela, PatchWork je uspio ugroziti nekoliko visokoprofilnih ciljeva. Zarazila je pakistansko ministarstvo obrane, kao i nekoliko profesora različitih sveučilišta koji rade u područjima molekularne medicine i bioloških znanosti. Žrtve su bile sa Sveučilišta UVAS, Sveučilišta SHU, Istraživačkog instituta Karachi HEJ i Sveučilišta nacionalne obrane Islam Abad.

U prošlosti je PatchWork ciljao subjekte iz cijelog svijeta. U ožujku 2018. grupa je vodila višestruke kampanje krađe identiteta protiv nekoliko američkih think tankova, dok je još 2016. krenula za zaposlenicima jedne europske vladine organizacije. Ponovno je 2018. PatchWork koristio korumpirane dokumente koji nose BADNEWS RAT protiv više ciljeva u Južnoj Aziji.