888 쥐

888 RAT는 2018년 지하 해커 포럼에서 처음 판매용으로 제공된 오래된 맬웨어 위협입니다. 당시에는 기능이 매우 제한적이었고 Windows 장치만 대상으로 하는 데 사용되었습니다. 이 초기 버전의 가격은 $80로 설정되었습니다.

그러나 얼마 지나지 않아 888 RAT의 개발자는 Android 기기를 감염시킬 수 있는 확장된 Pro 버전을 출시했습니다. 나중에 Extreme 버전도 출시되어 이제 Linux 페이로드 생성에 사용할 수 있습니다. 이 버전의 가격은 각각 150달러와 200달러였습니다. 이 기간 동안 888 RAT는 사이버 범죄 조직에 의해 거의 사용되지 않았습니다. Pro 버전이 여러 웹사이트에서 무료로 공개되면서 모든 것이 바뀌었습니다.

888 RAT 공격의 캠페인

연구원들은 전달된 페이로드의 일부로 888 RAT를 사용한 3개의 개별 공격 캠페인을 탐지했습니다. 하나는 Spy TikTok Pro에서 추적되고 다른 하나는 Kasablanka 그룹에 속한 작업입니다.그러나 가장 최근의 공격은 적어도 2020년 3월부터 활성화되었으며 구체적으로 쿠르드족을 표적으로 삼고 있습니다. 공격자는 888 RAT의 Android 버전을 배포하여 손상된 장치에서 간첩 활동을 수행했습니다. 지금까지 캠페인은 BladeHawk라는 이름으로 추적된 사이버 갱단에 기인했습니다.

BladeHawk's는 888 RAT를 위장했고, 소규모의 경우 SpyNote라는 다른 멀웨어 위협을 합법적인 응용 프로그램으로 위장했습니다. 사이버 범죄자들은 초기 침해 벡터로 전용 Facebook 프로필을 사용하여 쿠르드 지지자와 관련된 사건에 대한 뉴스를 쿠르드어로 게시하여 희생자를 유인했습니다. 그들은 또한 친쿠르드 성향을 가진 공개 Facebook 그룹에 추가 무기화 응용 프로그램으로 이어지는 링크를 퍼뜨립니다. 연구원들은 페이스북의 미끼 게시물 몇 개만 트로이 목마 애플리케이션 다운로드를 거의 1,500건에 달하는 것으로 확인했습니다.

기능

888 RAT의 Android 버전은 명령 및 제어(C&C, C2) 서버에서 수신하는 42개의 서로 다른 명령을 인식하고 실행할 수 있습니다. 따라서 위협은 침해된 장치에서 광범위한 악의적인 활동을 수행할 수 있습니다. 파일 조작, 수집 또는 삭제, 사진 수집, SMS 메시지 액세스, 장치의 연락처 목록 수집 및 설치된 모든 응용 프로그램 목록 생성과 같은 Android 위협에서 예상되는 기본 기능을 갖추고 있습니다.

또한 888 RAT는 장치에서 수많은 스파이 활동을 설정할 수 있습니다. 여기에는 임의의 스크린샷 찍기, 사진 찍기, 문자 메시지 보내기, 전화 걸기, 주변 오디오 녹음 및 장치에서 수행되는 전화 통화 녹음, 피싱 기술을 사용하여 피해자의 Facebook 자격 증명 수집 등이 포함됩니다.