Ragnatela RAT

Ragnatela RAT to nowy trojan zdalnego dostępu o zaawansowanych możliwościach. Po przeanalizowaniu zagrożenia badacze infosec ustalili, że jest to nowy wariant oparty na znanym wcześniej BADNEWS RAT. Ragnatela jest wyposażona w szeroki zakres inwazyjnych funkcji, które pozwalają atakującym na wykonanie zarówno schematów cyberszpiegowskich, jak i na eskalację ataku, aby pasował do ich aktualnych celów. Jako taki, RAT może ustanawiać procedury rejestrowania klawiszy i przechwytywania ekranu, wykonywać dowolne polecenia w systemie, celować w wybrane pliki i przesyłać je do atakujących, pobierać i inicjować dodatkowe niebezpieczne ładunki i nie tylko.

Ragnatela i PatchWork

Ragnatela RAT jest przypisywany i obserwowany jako część operacji ataku przeprowadzanych przez uznaną grupę APT PatchWork. Zagrożenie zostało ukryte i wdrożone za pomocą uzbrojonych dokumentów RTF, które działały jako przynęta dla docelowych ofiar, udając powiązania z władzami Pakistanu.

Uważa się, że hakerzy PatchWork są powiązani z Indiami i zazwyczaj biorą udział w kradzieży danych i operacjach cyberszpiegowskich. Społeczność infosec śledzi również tę grupę pod nazwami Dropping Elephant, Chinastrats lub Quilted Tiger. Ich kampania miała miejsce między listopadem a grudniem 2021 r. i została wykryta przez ekspertów infosec wyłącznie z powodu Ragnatela RAT.

Hakerzy nie zdołali ochronić własnych komputerówwystarczająco i zarazili się RATprzypadkowo. Incydent ten wzmacnia argument, że wschodnioazjatyckie APT działają na mniej zaawansowanym poziomie niż ich odpowiedniki z Rosji czy Korei Północnej.

Ofiary i przeszłe ataki

Podczas operacji Ragnatela PatchWork był w stanie skompromitować kilka głośnych celów. Zainfekował pakistańskie Ministerstwo Obrony, a także kilku wykładowców różnych uniwersytetów zajmujących się medycyną molekularną i naukami biologicznymi. Ofiary pochodziły z Uniwersytetu UVAS, Uniwersytetu SHU, Instytutu Badawczego Karaczi HEJ i Narodowego Uniwersytetu Obrony Islamu Abad.

W przeszłości PatchWork atakował podmioty z całego świata. W marcu 2018 r. grupa przeprowadziła wiele kampanii phishingowych skierowanych przeciwko kilku amerykańskim think tankom, a w 2016 r. zaatakowała pracowników europejskiej organizacji rządowej. Ponownie w 2018 r. PatchWork wykorzystał skorumpowane dokumenty zawierające BADNEWS RAT przeciwko wielu celom w Azji Południowej.