888 RAT

888 RAT är ett gammalt hot mot skadlig kod som först erbjöds till försäljning på underjordiska hackerforum 2018. Då hade den en mycket begränsad funktionalitet och användes endast för Windows -enheter. Priset på denna första version fastställdes till $ 80.

Men strax därefter släppte utvecklarna av 888 RAT en utökad Pro -version som kunde infektera Android -enheter. Senare släpptes också en Extreme -version och nu kan den användas för att skapa Linux nyttolast. Dessa versioner prissattes till $ 150 respektive $ 200. Under denna period förblev 888 RAT i stort sett outnyttjad av cyberkriminella gäng. Allt det förändrades när Pro -versionen blev sprucken och släpptes gratis på flera webbplatser.

888 RAT Attack's kampanjer

Forskare har lyckats upptäcka tre separata attackkampanjer som använde 888 RAT som en del av de levererade nyttolasterna. En spåras under Spy TikTok Pro medan en annan är en operation som tillskrivs Kasablanka -gruppen.Den senaste attacken har dock varit aktiv sedan minst mars 2020 och riktar sig specifikt till den kurdiska etniska gruppen. Angriparna använde Android -versionen av 888 RAT för att utföra spionaktiviteter på de komprometterade enheterna. Hittills har kampanjen tillskrivits en cybergång som spåras under namnet BladeHawk.

BladeHawk förklädde 888 RAT och, i små fall, ett annat malwarehot som heter SpyNote som en legitim applikation. Som en första kompromissvektor använde cyberkriminella dedikerade Facebook -profiler som lockade sina offer genom att publicera nyheter på kurdiska om händelser som är relevanta för kurdernas anhängare. De sprider också länkar som leder till ytterligare vapenstillämpade applikationer till offentliga Facebook-grupper med pro-kurdiska lutningar. Forskare har bekräftat att bara ett par Facebook -inlägg med bete har lyckats registrera nästan 1500 nedladdningar av trojaniserade applikationer.

Funktionalitet

Android-versionen av 888 RAT kan identifiera och köra 42 olika kommandon som den tar emot från en Command-and-Control (C&C, C2) -server. Som sådan kan hotet utföra ett brett spektrum av obehagliga aktiviteter på enheterna som bryts. Den är utrustad med de grundläggande funktioner som förväntas av ett Android -hot - manipulera, samla in eller ta bort filer, samla foton, få tillgång till SMS -meddelanden, skörda enhetens kontaktlista och generera en lista över alla installerade applikationer.

Dessutom kan 888 RAT upprätta många spionagerutiner på enheten. Dessa inkluderar att ta godtyckliga skärmdumpar, ta foton, skicka textmeddelanden, ringa samtal, spela in omgivande ljud och telefonsamtal som utförs på enheten, använda phishing -tekniker för att samla offrets Facebook -referenser och mer.