Check Point Research 使用开源远程管理工具 (RAT) Rafel 识别了多个威胁参与者。研究人员发现了一个使用Rafel的间谍组织,强调了该工具在不同威胁概况和目标中的有效性。此前,Check Point 使用 Rafel RAT 观察到网络间谍组织 APT-C-35 / DoNot Team。Rafel 的功能,包括远程访问、监视、数据泄露和持久性机制,使其成为秘密行动和渗透高价值目标的强大工具。
Check Point 使用该工具观察到大约 120 种不同的恶意活动,威胁行为者成功地瞄准了包括军事部门在内的知名组织。大多数受害者来自美国、中国和印度尼西亚,但研究人员指出,他们观察到世界各地的感染。
大多数受害者使用三星手机,其次是小米、Vivo 和华为设备。攻击者入侵了多种设备型号,包括谷歌设备(Pixel、Nexus)、三星Galaxy A&S系列和小米红米系列。
大多数受害者(超过 87%)使用的是不再受支持且未收到安全更新的 Android 版本。
“在合法实体的幌子下,恶意软件冒充了多个广为人知的应用程序,包括Instagram,WhatsApp,各种电子商务平台,防病毒程序以及众多服务的支持应用程序,”安全公司发布的报告写道。“根据攻击者的修改,恶意软件可能会请求通知或设备管理员权限的权限,或者秘密寻求最低限度的敏感权限(例如短信、通话记录和联系人),以保持不被发现。无论如何,恶意软件在激活后立即在后台开始运行。
该恶意软件部署了一个后台服务,该服务在后台运行时会生成带有欺骗性标签的通知。恶意代码还会启动 InternalService 来管理 C2 通信。
Rafel RAT 主要使用 HTTP(S) 进行 C2 通信,但它也可以依靠 Discord API 来联系 C2 基础设施。该恶意软件使用基于 PHP 的 C2 面板,使注册者能够远程控制受感染的设备。
通信通过 HTTP(S) 协议进行,从最初的客户端-服务器交互开始。受感染的设备最初传输设备信息,包括标识符、特征、区域设置、国家/地区、型号细节和操作员详细信息。随后,向 C&C 服务器发送请求,要求在设备上执行命令。
Check Point Research 发现了一名据称是伊朗人进行的勒索软件活动,攻击者通过短信发送了一张用阿拉伯语写的赎金票据,指示巴基斯坦的受害者在 Telegram 上与他们联系。
“Rafel RAT 是 Android 恶意软件不断发展的一个有力例子,其特点是其开源性质、广泛的功能集以及在各种非法活动中的广泛使用。Rafel RAT 的流行凸显了持续保持警惕和采取主动安全措施的必要性,以保护 Android 设备免受恶意利用。“随着网络犯罪分子继续利用Rafel RAT等技术和工具来破坏用户隐私、窃取敏感数据和实施金融欺诈,多层次的网络安全方法至关重要。”
原文始发于微信公众号(黑猫安全):专家们观察到大约 120 个使用 RAFEL RAT 的恶意活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论