CapraRAT

Hrozba CapraRAT je plně vybavený Android RAT (Remote Access Trojan) navržený k nasazení jako součást kyberšpionážních útoků. Podrobnosti o této konkrétní hrozbě odhalila zpráva publikovaná výzkumníky Trend Micro. Jejich analýza odhalila významný stupeň křížení mezi CapraRAT a dříve identifikovanou hrozbou známou jako Crimson RAT .

Crimson RAT je připisován a pozorován jako součást ohrožujících operací skupiny APT (Advanced Persistent Threat) sledované jako Earth Karkaddan . Stejnou skupinu hackerů lze také potkat jako APT36, Operation C-Major, PROJECTM, Mythic Leopard a Transparent Tribe.

Technické údaje

CapraRAT je další vlastní Android RAT, který je nyní součástí hrozivého arzenálu skupiny. Hrozba se s největší pravděpodobností opírá o taktiku sociálního inženýrství a phishingové odkazy k získání počátečního přístupu k zařízení oběti. Aby uživatelé odradili, poškozený obsah je maskován a distribuován jako aplikace YouTube.

Ve svém jádru se zdá, že CapraRAT je založen na open-source RAT hrozbě jménem AndroRAT . Jako takový je vybaven mnoha rušivými funkcemi souvisejícími se sběrem a následnou exfiltrací dat. CapraRAT dokáže sklidit geolokaci oběti, získat telefonní záznamy a extrahovat kontaktní informace.

Historie útoků

Skupina APT36 byla aktivní v operacích zaměřených na indické vojenské a diplomatické subjektydůsledně. První konkrétní známky jeho přítomnosti byly pozorovány již v roce 2016 při útoku na indickou armádu a vládní personál zaměřený na shromažďování informací. V roce 2018 skupina nasadila hrozbu spywaru pro Android proti aktivistům za lidská práva v Pákistánu, kteří mají v úmyslu zachytit telefonní hovory a zprávy, zpronevěřit fotografie a sledovat jejich pohyb. V roce 2020 hackeři upravili své návnady tak, aby nyní zahrnovaly vojenské návnady nebo návnady související s COVID-19, a použili je k vypuštění upravené verze dalšího Android RAT známého jako AhMyth .