888 RAT

888 RAT er en gammel malware -trussel, der først blev tilbudt til salg på underjordiske hackerfora i 2018. Dengang havde den langt begrænset funktionalitet og bruges kun til at målrette mod Windows -enheder. Prisen på denne oprindelige version blev sat til $ 80.

Men kort tid efter frigav udviklerne af 888 RAT en udvidet Pro -version, der var i stand til at inficere Android -enheder. Senere blev der også udgivet en Extreme -version, og nu kunne den bruges til oprettelse af Linux nyttelast. Disse versioner var prissat til henholdsvis $ 150 og $ 200. I denne periode forblev 888 RAT stort set uudnyttet af cyberkriminelle bander. Alt det ændrede sig, da Pro -versionen blev revnet og frigivet gratis på flere websteder.

888 RAT Attack's kampagner

Forskere har formået at opdage tre separate angrebskampagner, der brugte 888 RAT som en del af de leverede nyttelast. Den ene spores under Spy TikTok Pro, mens den anden er en operation, der tilskrives Kasablanka -gruppen.Det seneste angreb har imidlertid været aktivt siden mindst marts 2020 og er specifikt rettet mod den kurdiske etniske gruppe. Angriberne indsatte Android -versionen af 888 RAT til at udføre spionageaktiviteter på de kompromitterede enheder. Hidtil er kampagnen blevet tilskrevet en cybergang sporet under navnet BladeHawk.

BladeHawk forklædte 888 RAT og i små tilfælde en anden malware -trussel ved navn SpyNote som en legitim applikation. Som en første kompromisvektor brugte cyberkriminelle dedikerede Facebook -profiler, der lokkede deres ofre ved at sende nyheder på kurdisk om begivenheder, der var relevante for kurdernes tilhængere. De spredte også links, der førte til yderligere våbnede applikationer til offentlige Facebook-grupper med pro-kurdiske tilbøjeligheder. Forskere har bekræftet, at kun et par agn Facebook -indlæg har formået at registrere næsten 1.500 downloads af trojaniserede applikationer.

Funktionalitet

Android-versionen af 888 RAT er i stand til at genkende og udføre 42 forskellige kommandoer, som den modtager fra en Command-and-Control (C&C, C2) server. Som sådan kan truslen udføre en lang række uhyggelige aktiviteter på de overtrædede enheder. Den er udstyret med de grundlæggende funktioner, der forventes af en Android -trussel - manipulere, indsamle eller slette filer, samle fotos, få adgang til SMS -beskeder, høste enhedens kontaktliste og generere en liste over alle installerede applikationer.

Derudover kan 888 RAT etablere mange spionagerutiner på enheden. Disse omfatter at tage vilkårlige skærmbilleder, tage fotos, sende tekstbeskeder, foretage opkald, optage den omgivende lyd og telefonopkald udført på enheden, anvende phishing -teknikker til at indsamle offerets Facebook -legitimationsoplysninger og mere.