Ragnatela RAT

Ragnatela RATは、高度な機能を備えた新しいリモートアクセス型トロイの木馬です。脅威を分析した後、infosecの研究者は、これが以前から知られているBADNEWSRATに基づく新しい亜種であると判断しました。 Ragnatelaは、攻撃者が両方のサイバースパイスキームを実行したり、現在の目的に合わせて攻撃をエスカレートしたりできるようにする、さまざまな侵入機能を備えています。そのため、RATは、キーロガーとスクリーンキャプチャのルーチンを確立し、システム上で任意のコマンドを実行し、選択したファイルを標的にして攻撃者に送信し、追加の脅威のペイロードをフェッチして開始することができます。

RagnatelaとPatchWork

Ragnatela RATは、確立されたAPTグループPatchWorkによって実行される攻撃操作の一部として帰属および監視されます。脅威は、パキスタン当局に関連しているように見せかけることにより、標的とされた犠牲者の誘惑として機能した武器化されたRTF文書を通じて隠され展開されました。

PatchWorkハッカーはインドと関係があると考えられており、通常、データの盗難やサイバースパイ活動に関与しています。 infosecコミュニティは、Dropping Elephant、Chinastrats、またはQuiltedTigerの名前でこのグループも追跡しています。彼らのキャンペーンは2021年11月から12月の間に行われ、RagnatelaRATのためだけにinfosecの専門家によって発見されました。

ハッカーは自分のコンピューターを保護できませんでした十分にRATに感染している誤って。この事件は、東アジアのAPTがロシアや北朝鮮の対応するものよりも洗練されていないレベルで運営されているという議論を補強している。

犠牲者と過去の攻撃

Ragnatelaの運用中に、PatchWorkはいくつかの注目を集めるターゲットを危険にさらすことができました。それは、パキスタンの国防省、および分子医学と生物科学の分野で働いているさまざまな大学の数人の教員に感染しました。犠牲者は、UVAS大学、SHU大学、カラチHEJ研究所、およびイスラマバード国防大学からでした。

これまで、PatchWorkは世界中のエンティティを対象としてきました。 2018年3月、グループはいくつかの米国のシンクタンクに対して複数のスピアフィッシングキャンペーンを実行しましたが、2016年には、ヨーロッパの政府機関の従業員を追跡しました。再び2018年に、PatchWorkは、南アジアの複数のターゲットに対してBADNEWSRATを含む破損したドキュメントを採用しました。