Рагнатела ЩУР

Ragnatela RAT — це новий троян віддаленого доступу з розширеними можливостями. Проаналізувавши загрозу, дослідники Infosec визначили, що це новий варіант, заснований на раніше відомому BADNEWS RAT . Ragnatela оснащена широким спектром нав’язливих можливостей, які дозволяють зловмисникам виконувати обидві схеми кібершпигунства або ескалувати атаку відповідно до своїх поточних цілей. Таким чином, RAT може встановлювати процедури клавіатурного журналу та захоплення екрана, виконувати довільні команди в системі, націлювати вибрані файли та передавати їх зловмисникам, отримувати та ініціювати додаткові загрозливі корисні навантаження тощо.

Рагнатела та PatchWork

Ragnatela RAT приписується та спостерігається як частина операцій атаки, що здійснюються створеною групою APT PatchWork . Загроза була прихована та розгорнута за допомогою озброєних документів RTF, які діяли як приманка для цільових жертв, видаваючись за пов’язаних з пакистанською владою.

Вважається, що хакери PatchWork мають зв’язки з Індією і зазвичай беруть участь у крадіжках даних та операціях з кібершпигунства. Спільнота infosec також відстежує цю групу під іменами Dropping Elephant, Chinastrats або Quilted Tiger. Їхня кампанія проходила з листопада по грудень 2021 року і була виявлена експертами Infosec виключно через Рагнатела RAT.

Хакерам не вдалося захистити власні комп’ютери достатньо і заразилися ЩУРОМ випадково. Цей інцидент підкріплює аргумент про те, що східноазіатські APT працюють на менш складному рівні, ніж їхні колеги з Росії чи Північної Кореї.

Жертви та минулі атаки

Під час операції Рагнатела PatchWork зміг скомпрометувати кілька відомих цілей. Він заразив міністерство оборони Пакистану, а також кілька викладачів різних університетів, які працюють у галузях молекулярної медицини та біологічних наук. Жертви були з Університету UVAS, Університету SHU, Науково-дослідного інституту Карачі HEJ та Національного університету оборони Ісламу Абаду.

У минулому PatchWork націлювався на організації з усього світу. У березні 2018 року група провела кілька фішингових кампаній проти кількох аналітичних центрів США, а в 2016 році вони переслідували співробітників європейської урядової організації. Знову в 2018 році PatchWork використав пошкоджені документи, що містять BADNEWS RAT, проти кількох цілей у Південній Азії.