888 RAT

888 RATは、2018年にアンダーグラウンドハッカーフォーラムで最初に販売された古いマルウェアの脅威です。当時は、機能が大幅に制限されており、Windowsデバイスのみを標的としていました。この初期バージョンの価格は80ドルに設定されました。

ただし、その後すぐに、888 RATの開発者は、Androidデバイスに感染する可能性のある拡張Proバージョンをリリースしました。その後、Extremeバージョンもリリースされ、Linuxペイロードの作成に使用できるようになりました。これらのバージョンの価格はそれぞれ150ドルと200ドルでした。この期間中、888RATはサイバー犯罪組織によってほとんど利用されていませんでした。 Proバージョンがクラックされ、いくつかのWebサイトで無料でリリースされたとき、すべてが変わりました。

888RATアタックのキャンペーン

研究者は、配信されたペイロードの一部として888RATを使用した3つの別々の攻撃キャンペーンを検出することに成功しました。 1つはSpyTikTok Proで追跡され、もう1つはKasablankaグループに起因する操作です。ただし、最新の攻撃は少なくとも2020年3月以降アクティブであり、特にクルド人の民族グループを標的としています。攻撃者は、Androidバージョンの888 RATを展開して、侵入先のデバイスでスパイ活動を実行しました。これまでのところ、キャンペーンはBladeHawkという名前で追跡されているサイバーギャングに起因しています。

BladeHawkは888RATを偽装し、まれに、SpyNoteという名前の別のマルウェア脅威を正当なアプリケーションとして偽装しました。最初の妥協のベクトルとして、サイバー犯罪者は、クルド人の支持者に関連するイベントについてクルド語でニュースを投稿することにより、犠牲者を誘惑する専用のFacebookプロファイルを使用しました。彼らはまた、追加の武器化されたアプリケーションにつながるリンクを、クルド人に傾倒している公開Facebookグループに広めました。研究者は、ほんの数件の餌のFacebook投稿が、トロイの木馬化されたアプリケーションの約1,500ダウンロードを登録することに成功したことを確認しました。

機能性

Androidバージョンの888RATは、コマンドアンドコントロール（C＆C、C2）サーバーから受信する42の異なるコマンドを認識して実行することができます。そのため、脅威は、侵害されたデバイスに対してさまざまな不正なアクティビティを実行する可能性があります。 Androidの脅威に期待される基本機能を備えています。ファイルの操作、収集、削除、写真の収集、SMSメッセージへのアクセス、デバイスの連絡先リストの収集、インストールされているすべてのアプリケーションのリストの生成などです。

さらに、888 RATは、デバイス上で多数のスパイルーチンを確立できます。これには、任意のスクリーンショットの撮影、写真の撮影、テキストメッセージの送信、電話の発信、デバイスで行われた周囲の音声と電話の録音、フィッシング技術を使用した被害者のFacebook資格情報の収集などが含まれます。