Ragnatela RAT
Die Ragnatela RAT ist ein neuer Fernzugriffstrojaner mit erweiterten Fähigkeiten. Nach der Analyse der Bedrohung stellten Forscher von Infosec fest, dass es sich um eine neue Variante handelt, die auf der zuvor bekannten BADNEWS RAT basiert. Ragnatela ist mit einer großen Auswahl an aufdringlichen Fähigkeiten ausgestattet, die es den Angreifern ermöglichen, sowohl Cyber-Spionage-Schemata auszuführen als auch den Angriff entsprechend ihren aktuellen Zielen zu eskalieren. Als solches kann die RAT Keylogging- und Screen-Capture-Routinen einrichten, beliebige Befehle auf dem System ausführen, ausgewählte Dateien angreifen und an die Angreifer übertragen, zusätzliche bedrohliche Payloads abrufen und initiieren und vieles mehr.
Ragnatela und Patchwork
Die Ragnatela RAT wird als Teil der Angriffsoperationen der etablierten APT-Gruppe PatchWork zugeschrieben und beobachtet. Die Bedrohung wurde durch bewaffnete RTF-Dokumente versteckt und eingesetzt, die als Köder für die Zielopfer fungierten, indem sie sich als mit den pakistanischen Behörden in Verbindung stehend ausgaben.
Es wird angenommen, dass die PatchWork-Hacker Verbindungen nach Indien haben und typischerweise in Datendiebstahl und Cyberspionage-Operationen verwickelt sind. Die Infosec-Community verfolgt diese Gruppe auch unter den Namen Dropping Elephant, Chinastrats oder Quilted Tiger. Ihre Kampagne fand zwischen November und Dezember 2021 statt und wurde von den Infosec-Experten nur wegen der Ragnatela RAT aufgedeckt.
Die Hacker konnten ihre eigenen Computer nicht ausreichend schützen und infizierten sich versehentlich mit der RAT. Dieser Vorfall bestärkt das Argument, dass ostasiatische APTs auf einem weniger ausgeklügelten Niveau operieren als ihre Gegenstücke aus Russland oder Nordkorea.
Opfer und vergangene Angriffe
Während der Ragnatela-Operation konnte PatchWork mehrere hochkarätige Ziele kompromittieren. Es infizierte das pakistanische Verteidigungsministerium sowie mehrere Fakultätsmitglieder verschiedener Universitäten, die in den Bereichen Molekularmedizin und Biowissenschaften arbeiten. Die Opfer stammten von der UVAS University, der SHU University, dem Karachi HEJ Research Institute und der National Defense University of Islam Abad.
In der Vergangenheit hat PatchWork Unternehmen auf der ganzen Welt ins Visier genommen. Im März 2018 führte die Gruppe mehrere Spear-Phishing-Kampagnen gegen mehrere US-Denkfabriken durch, während sie bereits 2016 Mitarbeiter einer europäischen Regierungsorganisation verfolgte. Auch 2018 setzte PatchWork beschädigte Dokumente mit der BADNEWS RAT gegen mehrere Ziele in Südasien ein.
