CapraRAT

CapraRAT-uhka on täysin varusteltu Android RAT (Remote Access Trojan), joka on suunniteltu käytettäväksi osana kybervakoiluhyökkäyksiä. Tämän uhan yksityiskohdat paljastettiin Trend Micron tutkijoiden julkaisemassa raportissa. Heidän analyysinsä on paljastanut huomattavan risteytysasteen CapraRAT:n ja aiemmin tunnistetun Crimson RAT - uhan välillä .

Crimson RAT katsotaan osaksi Earth Karkaddan -nimellä jäljitetyn APT (Advanced Persistent Threat) -ryhmän uhkaavia operaatioita. Sama hakkeriryhmä voidaan kohdata myös kuten APT36, Operation C-Major, PROJECTM, Mythic Leopard ja Transparent Tribe.

Tekniset yksityiskohdat

CapraRAT on toinen räätälöity Android RAT, joka on nyt osa ryhmän uhkaavaa arsenaalia. Uhka perustuu todennäköisimmin sosiaalisen suunnittelun taktiikoihin ja tietojenkalastelulinkkeihin, joilla päästään alustavasti uhrin laitteeseen. Käyttäjien karkottamiseksi vioittunut hyötykuorma naamioidaan ja jaetaan Youtube-sovellukseksi.

Pohjimmiltaan CapraRAT näyttää perustuvan avoimen lähdekoodin RAT-uhaan nimeltä AndroRAT . Sellaisenaan se on varustettu lukuisilla tunkeilevilla toiminnoilla, jotka liittyvät tietojen keräämiseen ja myöhempään suodattamiseen. CapraRAT voi kerätä uhrin maantieteellisen sijainnin, saada puhelinlokit ja poimia yhteystiedot.

Hyökkäyshistoria

APT36-ryhmä on osallistunut aktiivisesti Intian sotilaallisiin ja diplomaattisiin yksiköihin kohdistuvissa operaatioissajohdonmukaisesti. Ensimmäiset konkreettiset merkit sen läsnäolosta havaittiin jo vuonna 2016 tiedonkeruuhyökkäyksessä Intian armeijan ja hallituksen henkilöstöä vastaan. Vuonna 2018 ryhmä käytti Android-spyware-uhan Pakistanissa olevia ihmisoikeusaktivisteja vastaan, jotka aikoivat siepata puheluita ja viestejä, kavaltaa valokuvia ja seurata heidän liikkeitään. Vuonna 2020 hakkerit muuttivat syöttiviestejään sisältämään nyt sotilaallisia tai COVID-19:aan liittyviä vieheitä ja pudottivat niillä muokatun version toisesta Android RATista, joka tunnetaan nimellä AhMyth .