Рагнатела КРЫС
Ragnatela RAT — это новый троянец удаленного доступа с расширенными возможностями. Проанализировав угрозу, исследователи информационной безопасности определили, что это новый вариант, основанный на ранее известной BADNEWS RAT . Ragnatela оснащена широким спектром интрузивных возможностей, позволяющих злоумышленникам выполнять как схемы кибершпионажа, так и эскалировать атаку в соответствии со своими текущими целями. Таким образом, RAT может устанавливать процедуры регистрации клавиатуры и захвата экрана, выполнять произвольные команды в системе, нацеливаться на выбранные файлы и передавать их злоумышленникам, извлекать и инициировать дополнительные опасные полезные нагрузки и многое другое.
Рагнатела и PatchWork
RAT Ragnatela приписывается и наблюдается как часть атак, проводимых созданной APT-группой PatchWork . Угроза была скрыта и развернута с помощью вооруженных документов RTF, которые служили приманкой для целевых жертв, выдавая себя за связи с пакистанскими властями.
Считается, что хакеры PatchWork связаны с Индией и обычно занимаются кражей данных и кибершпионажем. Сообщество информационной безопасности также отслеживает эту группу под именами Dropping Elephant, Chinastrats или Quilted Tiger. Их кампания проходила в период с ноября по декабрь 2021 года и была раскрыта экспертами по информационной безопасности исключительно из-за Ragnatela RAT.
Хакеры не смогли защитить собственные компьютерыдостаточно и заразили себя КРЫСОЙслучайно. Этот инцидент подтверждает аргумент о том, что APT из Восточной Азии работают на менее сложном уровне, чем их аналоги из России или Северной Кореи.
Жертвы и прошлые нападения
Во время операции Ragnatela PatchWork удалось скомпрометировать несколько высокопоставленных целей. Он заразил министерство обороны Пакистана, а также несколько преподавателей различных университетов, работающих в области молекулярной медицины и биологических наук. Жертвы были из Университета UVAS, Университета SHU, Исследовательского института Карачи HEJ и Национального университета обороны Ислам-Абада.
В прошлом PatchWork нацеливался на организации со всего мира. В марте 2018 года группа провела несколько целевых фишинговых кампаний против нескольких аналитических центров США, а еще в 2016 году они преследовали сотрудников одной европейской правительственной организации. В 2018 году PatchWork снова использовала поврежденные документы, содержащие BADNEWS RAT, против нескольких целей в Южной Азии.