Ragnatela RAT
De Ragnatela RAT is een nieuwe Remote Access Trojan met geavanceerde mogelijkheden. Na analyse van de dreiging hebben infosec-onderzoekers vastgesteld dat het een nieuwe variant is op basis van de eerder bekende BADNEWS RAT. Ragnatela is uitgerust met een groot aantal intrusieve mogelijkheden waarmee aanvallers zowel cyberspionageschema's kunnen uitvoeren als de aanval kunnen escaleren om aan hun huidige doelstellingen te voldoen. Als zodanig kan de RAT keylogging- en schermopnameroutines opzetten, willekeurige commando's op het systeem uitvoeren, gekozen bestanden targeten en naar de aanvallers verzenden, extra bedreigende payloads ophalen en initiëren en meer.
Ragnatela en Patchwork
De Ragnatela RAT wordt toegeschreven en geobserveerd als onderdeel van de aanvalsoperaties uitgevoerd door de gevestigde APT-groep PatchWork. De dreiging werd verborgen en ingezet door middel van bewapende RTF-documenten die als lokmiddel fungeerden voor de beoogde slachtoffers door zich voor te doen als banden met de Pakistaanse autoriteiten.
De PatchWork-hackers zouden banden hebben met India en zijn doorgaans betrokken bij gegevensdiefstal en cyberspionage. De infosec-gemeenschap volgt deze groep ook onder de namen Dropping Elephant, Chinastrats of Quilted Tiger. Hun campagne vond plaats tussen november en december 2021 en werd ontdekt door de infosec-experts, uitsluitend vanwege de Ragnatela RAT.
De hackers slaagden er niet in hun eigen computers te beschermenvoldoende en besmetten zichzelf met de RATper ongeluk. Dit incident versterkt het argument dat Oost-Aziatische APT's op een minder geavanceerd niveau opereren dan hun tegenhangers uit Rusland of Noord-Korea.
Slachtoffers en eerdere aanvallen
Tijdens de Ragnatela-operatie was PatchWork in staat verschillende spraakmakende doelen te compromitteren. Het besmette het Pakistaanse ministerie van Defensie, evenals verschillende faculteitsleden van verschillende universiteiten die werkzaam zijn op het gebied van moleculaire geneeskunde en biologische wetenschappen. De slachtoffers waren van de UVAS University, SHU University, het Karachi HEJ Research Institute en de National Defense University of Islam Abad.
In het verleden heeft PatchWork zich gericht op entiteiten van over de hele wereld. In maart 2018 voerde de groep meerdere spear-phishing-campagnes tegen verschillende Amerikaanse denktanks, terwijl ze in 2016 achter medewerkers van een Europese overheidsorganisatie aan gingen. Ook in 2018 gebruikte PatchWork corrupte documenten met de BADNEWS RAT tegen meerdere doelen in Zuid-Azië.