888 RAT

888 RAT, ilk olarak 2018'de yer altı hacker forumlarında satışa sunulan eski bir kötü amaçlı yazılım tehdididir. O zamanlar, çok sınırlı işlevselliğe sahipti ve yalnızca Windows cihazlarını hedefliyordu. Bu ilk sürümün fiyatı 80 $ olarak belirlendi.

Ancak kısa bir süre sonra, 888 RAT geliştiricileri, Android cihazlara bulaşabilen genişletilmiş bir Pro sürümü yayınladı. Daha sonra, bir Extreme sürümü de yayınlandı ve şimdi Linux yüklerinin oluşturulması için kullanılabilir. Bu sürümler sırasıyla 150 $ ve 200 $ olarak fiyatlandırıldı. Bu süre boyunca, 888 RAT, siber suçlu çeteler tarafından büyük ölçüde kullanılmadı. Pro sürümü kırıldığında ve birkaç web sitesinde ücretsiz olarak yayınlandığında tüm bunlar değişti.

888 RAT Saldırısının Seferleri

Araştırmacılar, teslim edilen yüklerin bir parçası olarak 888 RAT'ı kullanan üç ayrı saldırı kampanyasını tespit etmeyi başardılar. Biri Spy TikTok Pro altında izleniyor, diğeri ise Kasablanka grubuna atfedilen bir operasyon.Ancak, son saldırı en az Mart 2020'den beri aktif ve özellikle Kürt etnik grubunu hedef alıyor. Saldırganlar, güvenliği ihlal edilen cihazlarda casusluk faaliyetleri yürütmek için 888 RAT'ın Android sürümünü dağıttı. Şimdiye kadar, kampanya BladeHawk adı altında izlenen bir siber çeteye atfedildi.

BladeHawk, 888 RAT'ı ve küçük durumlarda SpyNote adlı farklı bir kötü amaçlı yazılım tehdidini meşru bir uygulama olarak gizledi. İlk uzlaşma vektörü olarak siber suçlular, Kürt destekçileriyle ilgili olaylar hakkında Kürtçe haberler yayınlayarak kurbanlarını cezbeden özel Facebook profillerini kullandılar. Ayrıca, Kürt yanlısı eğilimleri olan halka açık Facebook gruplarına ek silahlı uygulamalara yol açan bağlantıları da yayarlar. Araştırmacılar, yalnızca birkaç yem Facebook gönderisinin yaklaşık 1.500 truva atlı uygulama indirmesini kaydetmeyi başardığını doğruladı.

işlevsellik

888 RAT'ın Android sürümü, bir Komuta ve Kontrol (C&C, C2) sunucusundan aldığı 42 farklı komutu tanıyabilir ve yürütebilir. Bu nedenle tehdit, ihlal edilen cihazlarda çok çeşitli kötü niyetli faaliyetler gerçekleştirebilir. Bir Android tehdidinden beklenen temel işlevlerle donatılmıştır - dosyaları işlemek, toplamak veya silmek, fotoğraf toplamak, SMS mesajlarına erişmek, cihazın kişi listesini toplamak ve yüklü tüm uygulamaların bir listesini oluşturmak.

Ek olarak, 888 RAT, cihazda çok sayıda casusluk rutini oluşturabilir. Bunlar arasında rastgele ekran görüntüleri almak, fotoğraf çekmek, kısa mesaj göndermek, arama yapmak, cihazda yapılan çevredeki ses ve telefon görüşmelerini kaydetmek, kurbanın Facebook kimlik bilgilerini toplamak için kimlik avı tekniklerini kullanmak ve daha fazlası yer alıyor.