Компания Check Point Research сообщила о обнаружении группы хакеров, использующих инструмент удаленного администрирования с открытым исходным кодом Rafel. Это обнаружение имеет большое значение, так как указывает на эффективность этого инструмента для различных профилей злоумышленников и операционных целей. Всего было выявлено около 120 вредоносных кампаний, некоторые из которых атаковали высокопоставленные организации в США, Китае и Индонезии. Одной из особенностей этой операции является эксфильтрация телефонных контактов жертвы, что может привести к утечке конфиденциальных данных и возможности проникновения внутри организации.
Rafel RAT
В результате анализа устройств, подвергшихся атакам, было выяснено, что большинство жертв использовали телефоны Samsung, а также устройства Xiaomi, Vivo и Huawei. Хотя среди зараженных устройств было больше представителей определенных брендов, они были представлены широким спектром моделей. Важно отметить, что более 87% зараженных устройств работали на устаревших версиях Android, которые не получают обновлений безопасности.
Технический анализ показал, что вредоносная программа определена для фишинговых кампаний и использует обманные тактики для манипуляции доверием пользователей. Она запрашивает необходимые разрешения при запуске и может попросить добавить себя в список разрешенных приложений. Вредоносная программа выдает себя за легитимные приложения, такие как Instagram, WhatsApp, различные платформы электронной коммерции, антивирусные программы и др. Она может запрашивать разрешения на уведомления или права администратора, а также скрытно запрашивать минимальные разрешения, чтобы остаться незамеченной. После активации вредоносная программа запускает фоновую службу, которая работает скрытно и генерирует обманные уведомления. Она также устанавливает связь с командно-контрольным сервером.
Indicators of Compromise
Domains
- ashrat.000webhostapp.com
- bazfinc.xyz
- discord-rat23.000webhostapp.com
- districtjudiciarycharsadda.gov.pk
- kafila001.000webhostapp.com
- uni2phish.ru
- zetalinks.tech
SHA256
- 344d577a622f6f11c7e1213a3bd667a3aef638440191e8567214d39479e80821
- 442fbbb66efd3c21ba1c333ce8be02bb7ad057528c72bf1eb1e07903482211a9
- 5148ac15283b303357107ab4f4f17caf00d96291154ade7809202f9ab8746d0b
- 9b718877da8630ba63083b3374896f67eccdb61f85e7d5671b83156ab182e4de
- c94416790693fb364f204f6645eac8a5483011ac73dba0d6285138014fa29a63
- d1f2ed3e379cde7375a001f967ce145a5bba23ca668685ac96907ba8a0d29320
