ラフェル RAT
サイバースパイグループを含む複数の脅威アクターが、Rafel RAT と呼ばれるオープンソースの Android リモート管理ツールを利用しています。彼らは、Instagram、WhatsApp、さまざまな電子商取引やマルウェア対策アプリケーションなどの人気アプリケーションに偽装して、有害な目的を達成しています。
Rafel RAT は、これらの攻撃者にリモート管理と制御のための強力なツールキットを提供し、データの盗難やデバイスの操作など、さまざまな不正行為を容易にします。その広範な機能には、SD カードの消去、通話記録の削除、通知の傍受、さらにはランサムウェアとしての機能も含まれます。
目次
Rafael RAT は多数の攻撃キャンペーンで検出された
サイバーセキュリティの専門家は以前、APT-C-35 (別名DoNot Team、Brainworm、Origami Elephant)がFoxit PDF Readerの設計上の欠陥を悪用してユーザーを騙し、脅威となるペイロードをダウンロードさせる攻撃でRafel RATを使用したことを強調した。2024年4月に発生したこの攻撃では、軍事をテーマにしたPDFのルアーを使用してマルウェアを配信した。
専門家は、オーストラリア、中国、チェコ、フランス、ドイツ、インド、インドネシア、イタリア、ニュージーランド、パキスタン、ルーマニア、ロシア、米国など、さまざまな国で、著名な団体を標的としたものも含め、約120のさまざまな有害なキャンペーンを特定しました。
被害者の大半はサムスン製の携帯電話を所有しており、続いてXiaomi、Vivo、Huaweiのデバイスのユーザーが続いた。注目すべきは、感染したデバイスの約87.5%が、セキュリティアップデートを受けられなくなった古いバージョンのAndroidを実行していたことだ。
Rafel RATは幅広い機密データを侵害する可能性がある
典型的な攻撃チェーンには、ソーシャル エンジニアリング戦術が含まれ、被害者を騙してマルウェアに感染したアプリケーションへの侵入的な権限を付与させます。これらの権限により、マルウェアは連絡先情報、SMS メッセージ (2FA コードなど)、位置情報、通話履歴、インストールされているアプリケーションのリストなどの機密データを収集できます。
Rafel RAT は、コマンド アンド コントロール (C2) 通信に主に HTTP(S) を使用しますが、脅威アクターとの通信に Discord API も利用できます。さらに、登録ユーザーが侵害されたデバイスにコマンドを発行するために使用できる PHP ベースの C2 パネルを備えています。
Androidユーザーは依然としてサイバー犯罪者の頻繁な標的
このツールがさまざまな脅威アクターに対して有効であることは、イラン出身と思われる攻撃者が実行したランサムウェア攻撃にこのツールが関与していることで実証されています。攻撃者は、SMS 経由でアラビア語で身代金要求のメッセージを送り、パキスタンの被害者に Telegram で連絡するよう促しました。
Rafel RAT は、オープンソース設計、包括的な機能、さまざまな違法行為への広範な展開を特徴とする、進化を続ける Android マルウェアの典型です。その広範な使用は、Android デバイスを有害な悪用から保護するために、継続的な警戒と予防的なセキュリティ対策の重要性を強調しています。
