888 RAT

888 RAT to stare zagrożenie złośliwym oprogramowaniem, które po raz pierwszy zostało wystawione na sprzedaż na podziemnych forach hakerskich w 2018 roku. Cena tej początkowej wersji została ustalona na 80 dolarów.

Jednak wkrótce potem twórcy 888 RAT wydali rozszerzoną wersję Pro, która była w stanie infekować urządzenia z Androidem. Później ukazała się również wersja Extreme, która teraz może być używana do tworzenia ładunków Linuksa. Te wersje zostały wycenione odpowiednio na 150 i 200 USD. W tym okresie 888 RAT pozostawał w dużej mierze niewykorzystany przez gangi cyberprzestępcze. Wszystko to zmieniło się, gdy wersja Pro została złamana i udostępniona za darmo na kilku stronach internetowych.

Kampanie 888 RAT Attack

Badaczom udało się wykryć trzy oddzielne kampanie ataków, które wykorzystywały 888 RAT jako część dostarczonych ładunków. Jeden jest śledzony w ramach Spy TikTok Pro, podczas gdy inny jest operacją przypisaną grupie Kasablanka.Jednak ostatni atak trwa od co najmniej marca 2020 r. i jest wymierzony konkretnie w kurdyjską grupę etniczną. Osoby atakujące wdrożyły wersję RAT 888 dla systemu Android w celu prowadzenia działań szpiegowskich na zaatakowanych urządzeniach. Do tej pory kampanię przypisywano cybergangowi śledzonemu pod nazwą BladeHawk.

BladeHawk zamaskował 888 RAT i, w małych przypadkach, inne szkodliwe oprogramowanie o nazwie SpyNote jako legalną aplikację. Jako początkowy wektor włamania cyberprzestępcy wykorzystali dedykowane profile na Facebooku, które zwabiły swoje ofiary, zamieszczając w języku kurdyjskim wiadomości o wydarzeniach istotnych dla zwolenników Kurdów. Rozpowszechniają również linki prowadzące do dodatkowych uzbrojonych aplikacji na publiczne grupy na Facebooku o skłonnościach prokurdowskich. Badacze potwierdzili, że zaledwie kilka postów z przynętą na Facebooku zdołało zarejestrować prawie 1500 pobrań strojanizowanych aplikacji.

Funkcjonalność

Wersja 888 RAT dla systemu Android jest w stanie rozpoznać i wykonać 42 różne polecenia, które otrzymuje z serwera Command-and-Control (C&C, C2). W związku z tym zagrożenie może wykonywać szereg nikczemnych działań na naruszonych urządzeniach. Jest wyposażony w podstawowe funkcje, jakich oczekuje się od zagrożenia Androida - manipulowanie, gromadzenie lub usuwanie plików, gromadzenie zdjęć, dostęp do wiadomości SMS, przechwytywanie listy kontaktów urządzenia i generowanie listy wszystkich zainstalowanych aplikacji.

Ponadto 888 RAT może przeprowadzać na urządzeniu liczne procedury szpiegowskie. Obejmują one wykonywanie dowolnych zrzutów ekranu, robienie zdjęć, wysyłanie wiadomości tekstowych, wykonywanie połączeń, nagrywanie otaczającego dźwięku i rozmów telefonicznych prowadzonych na urządzeniu, wykorzystywanie technik phishingowych do zbierania danych uwierzytelniających ofiary na Facebooku i wiele innych.