„Rafel RAT“ siekia taikyti „Android“ įrenginius
Kibernetinio šnipinėjimo grupės ir kiti grėsmės veikėjai naudoja atvirojo kodo Android nuotolinio administravimo įrankį, žinomą kaip Rafel RAT. Užmaskuotas kaip populiarios programos, tokios kaip „Instagram“, „WhatsApp“ ir įvairios elektroninės prekybos bei antivirusinės programos, „Rafel RAT“ leidžia šiems piktybiniams veikėjams slapta pasiekti savo tikslus.
Table of Contents
Savybės ir galimybės
Remiantis naujausia „Check Point“ analize, „Rafel RAT“ užpuolikams suteikia patikimą nuotolinio valdymo ir administravimo įrankių rinkinį. Šis galingas įrankis leidžia vykdyti daugybę kenkėjiškų veiksmų, pradedant duomenų vagyste ir manipuliavimu įrenginiais iki veikimo kaip išpirkos reikalaujančios programos. Tarp jo funkcijų yra galimybė ištrinti SD korteles, ištrinti skambučių žurnalus, sifoninius pranešimus ir vykdyti išpirkos reikalaujančių programų atakas.
Žymios kampanijos ir puolimo strategijos
„DoNot Team“, taip pat žinoma kaip APT-C-35, Brainworm ir Origami Elephant, buvo nustatyta kaip Rafel RAT naudotoja kibernetinių atakų metu. 2024 m. balandžio mėn. vykusioje reikšmingoje kampanijoje buvo išnaudotas „Foxit PDF Reader“ pažeidžiamumas, naudojant karinės temos PDF masalus, siekiant apgauti vartotojus atsisiųsti kenkėjišką programą. Ši kampanija apėmė kelias šalis ir buvo skirta aukšto lygio subjektams tokiose šalyse kaip Australija, Kinija, Vokietija, Indija ir JAV.
Tiksliniai įrenginiai ir pažeidžiamumas
Gerai žinomų šaltinių, tokių kaip „CheckPoint“, atlikti tyrimai atskleidė maždaug 120 kenkėjiškų kampanijų, susijusių su Rafel RAT. Dauguma šių atakų buvo nukreiptos į „Samsung“ įrenginius, po jų seka „Xiaomi“, „Vivo“ ir „Huawei“. Maždaug 87,5 % pažeistų įrenginių veikė pasenusios „Android“ versijos, kuriose trūko naujausių saugos pataisymų.
Puolimo būdai
Atakos metodai dažnai apima socialinės inžinerijos taktiką, kai aukos manipuliuojamos suteikiant įžeidžiančius leidimus programoms, kuriose yra kenkėjiškų programų. Tai leidžia kenkėjiškajai programai surinkti neskelbtinus duomenis, pvz., kontaktinę informaciją, SMS žinutes (įskaitant 2FA kodus), vietos duomenis, skambučių žurnalus ir įdiegtų programų sąrašus.
Komandos ir valdymo ryšiai
„Rafel RAT“ pirmiausia naudoja HTTP(S) komandų ir valdymo (C2) ryšiui palaikyti, tačiau taip pat gali panaudoti „Discord“ API, kad susisiektų su užpuolikais. Be to, jame yra PHP pagrindu sukurtas C2 skydelis, kurį registruoti vartotojai gali naudoti norėdami duoti komandas pažeistiems įrenginiams.
Atvejo tyrimas: Ransomware operacija
Rafel RAT efektyvumo pavyzdys yra tai, kad užpuolikas tikriausiai iš Irano naudoja jį išpirkos reikalaujančioje programoje. Užpuolikas SMS žinute arabų kalba atsiuntė išpirkos raštelį, ragindamas auką Pakistane susisiekti su ja per Telegram, pademonstruodamas įrankio universalumą ir pasiekiamumą.
„Rafel RAT“ rodo besivystančią „Android“ kenkėjiškų programų aplinką, kuriai būdingas atvirojo kodo pobūdis, platus funkcijų rinkinys ir plačiai paplitęs naudojimas atliekant įvairią neteisėtą veiklą. Rafel RAT paplitimas pabrėžia nuolatinio budrumo ir aktyvių saugos priemonių svarbą siekiant apsaugoti Android įrenginius nuo piktavališko išnaudojimo.
