Ragnatela RAT

A Ragnatela RAT egy új távelérési trójai, fejlett képességekkel. A fenyegetés elemzése után az infosec kutatói megállapították, hogy ez egy új változat a korábban ismert BADNEWS RAT alapján . A Ragnatela a behatoló képességek széles skálájával van felszerelve, amelyek lehetővé teszik a támadók számára, hogy kiberkémkedési rendszert hajtsanak végre, vagy fokozzák a támadást, hogy megfeleljenek jelenlegi céljaiknak. Mint ilyen, a RAT létrehozhat billentyűnaplózási és képernyőrögzítési rutinokat, tetszőleges parancsokat hajthat végre a rendszeren, megcélozhatja a kiválasztott fájlokat, és továbbíthatja azokat a támadóknak, további fenyegető rakományokat kérhet le és kezdeményezhet, és így tovább.

Ragnatela és PatchWork

A Ragnatela RAT-ot a PatchWork APT csoport által végrehajtott támadási műveletek részeként tulajdonítják és figyelik meg. A fenyegetést elrejtették és fegyveres RTF-dokumentumok segítségével vetették be, amelyek csábító hatást gyakoroltak a megcélzott áldozatokra azáltal, hogy a pakisztáni hatóságokkal kapcsolatban álltak.

A PatchWork hackerek vélhetően kapcsolatban állnak Indiával, és jellemzően adatlopásban és kiberkémkedésben vesznek részt. Az infosec közösség ezt a csoportot is nyomon követi Dropping Elephant, Chinastrats vagy Quilted Tiger néven. Kampányuk 2021 novembere és decembere között zajlott, és az infosec szakértők kizárólag a Ragnatela RAT miatt fedezték fel.

A hackereknek nem sikerült megvédeniük saját számítógépeiket és megfertőzték magukat a RAT-tal véletlenül. Ez az incidens megerősíti azt az érvet, hogy a kelet-ázsiai APT-k kevésbé kifinomult szinten működnek, mint oroszországi vagy észak-koreai társaik.

Áldozatok és múltbeli támadások

A Ragnatela művelet során a PatchWork több nagy horderejű célpontot is kompromittálhatott. Megfertőzte a pakisztáni védelmi minisztériumot, valamint a különböző egyetemek több, a molekuláris orvostudomány és a biológiai tudomány területén dolgozó oktatóját. Az áldozatok az UVAS Egyetemről, a SHU Egyetemről, a Karachi HEJ Kutatóintézetről és az Iszlám Abadi Nemzetvédelmi Egyetemről származtak.

A múltban a PatchWork a világ minden tájáról célzott entitásokat. 2018 márciusában a csoport több lándzsahalász kampányt folytatott több amerikai agytröszt ellen, 2016-ban pedig egy európai kormányzati szervezet alkalmazottait keresték. A PatchWork 2018-ban is felhasználta a BADNEWS RAT-ot tartalmazó, sérült dokumentumokat több dél-ázsiai célpont ellen.