Một phần mềm độc hại Android nguồn mở có tên 'Ratel RAT' được nhiều tác nhân đe dọa lạm dụng rộng rãi để tấn công các thiết bị lỗi thời, một số trong đó nhằm lây nhiễm ransomware.
Các nhà nghiên cứu Antonis Terefos và Bohdan Melnykov tại Check Point cho biết đã phát hiện hơn 120 chiến dịch sử dụng phần mềm độc hại Rafel RAT.
Các cuộc tấn công nhắm mục tiêu vào các tổ chức cấp cao, bao gồm cả chính phủ và khu vực quân sự, với hầu hết nạn nhân đến từ Mỹ, Trung Quốc và Indonesia.
Trong hầu hết các trường hợp lây nhiễm mà Check Point kiểm tra, nạn nhân sử dụng phiên bản Android đã lỗi thời (EoL) không còn nhận được các bản cập nhật bảo mật, khiến nó dễ bị tấn công bởi các lỗ hổng đã biết. Trong đó các thiết bị chạy phiên bản từ Android 11 trở về trước chiếm hơn 87,5% tổng số, chỉ 12,5% thiết bị bị nhiễm chạy Android 12 hoặc 13.
Các thương hiệu và mẫu điện thoại bị nhắm mục tiêu bao gồm Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One và các thiết bị của OnePlus, Vivo và Huawei.
Cuộc tấn công RAT Ratel
Ratel RAT được lây nhiễm qua nhiều cách khác nhau, nhưng phổ biến nhất là lạm dụng các thương hiệu nổi tiếng như Instagram, WhatsApp, nền tảng thương mại điện tử hoặc ứng dụng chống vi-rút để lừa người dùng tải xuống APK độc hại.
Trong quá trình cài đặt, nó yêu cầu quyền truy cập vào các quyền rủi ro, bao gồm cả việc loại trừ khỏi tối ưu hóa pin, để có thể lén lút hoạt động khi chạy ở chế độ nền (background).
Phần mềm độc hại cung cấp các lệnh khác nhau tùy theo biến thể, thường bao gồm các lệnh:
Đáng chú ý trong số này là:
- Ransomware: Bắt đầu quá trình mã hóa tệp trên thiết bị.
- Wipe: Xóa tất cả các file theo đường dẫn đã chỉ định.
- LockTheScreen: Khóa màn hình thiết bị, khiến thiết bị không thể sử dụng được.
- Sms_oku: Trích xuất tất cả SMS (và mã 2FA) và gửi đến máy chủ điều khiển tấn công (C2).
- Location_tracker: Thu thập và gửi vị trí thiết bị trực tiếp tới máy chủ C2.
Các hành động được kiểm soát từ bảng điều khiển trung tâm, cho phép tác nhân đe dọa truy cập thông tin trạng thái và thiết bị cũng như quyết định các bước tấn công tiếp theo của chúng.
Theo phân tích của Check Point, khoảng 10% các trường hợp đã thực hiện lệnh ransomware.
Các lệnh được yêu cầu thường xuyên nhất
Tấn công ransomware
Mô-đun ransomware trong Rafel RAT được thiết kế để thực hiện các âm mưu tống tiền bằng cách chiếm quyền kiểm soát thiết bị và mã hóa các tệp của nạn nhân.
Nếu quyền quản trị (DeviceAdmin) đã được cấp trên thiết bị, ransomware sẽ kiểm soát các chức năng quan trọng của thiết bị, như khả năng thay đổi mật khẩu màn hình khóa và thêm một thông báo tùy chỉnh trên màn hình, thường là thông báo đòi tiền chuộc.
Nếu người dùng cố gắng thu hồi quyền quản trị viên, ransomware có thể phản ứng bằng cách thay đổi mật khẩu và khóa màn hình ngay lập tức.
Các nhà nghiên cứu của Check Point đã quan sát thấy một số hoạt động ransomware liên quan đến Rafel RAT, bao gồm một cuộc tấn công từ Iran đã thực hiện hoạt động do thám mạng bằng các tính năng khác của Ratel RAT trước khi triển khai mô-đun mã hóa.
Để chống lại các cuộc tấn công này, bạn cần TRÁNH tải xuống APK từ các nguồn không tin cậy, KHÔNG nhấp vào URL có trong các email hoặc tin nhắn đáng ngờ và rà quét ứng dụng bằng Play Protect trước khi khởi chạy chúng.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Các tác nhân đe dọa đang khai thác lỗ hổng path traversal SolarWinds Serv-U, lạm dụng các mã khai thác (PoC) có sẵn công khai.
Sàn giao dịch tiền điện tử Kraken tiết lộ rằng một nhà nghiên cứu bảo mật ẩn danh đã khai thác lỗ hổng zero-day “cực kỳ nghiêm trọng” trong nền tảng của họ để đánh cắp 3 triệu đô la tài sản số và từ chối trả lại chúng.
VMware đã phát hành tư vấn bảo mật giải quyết các lỗ hổng nghiêm trọng trong vCenter Server, bao gồm lỗi thực thi mã từ xa và các lỗi leo thang đặc quyền cục bộ.
Tín nhiệm mạng | Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các tập lệnh PowerShell độc hại nhằm cài đặt phần mềm độc hại.
NHS England tiết lộ rằng nhiều bệnh viện ở London bị ảnh hưởng bởi cuộc tấn công ransomware vào Synnovis xảy ra vào đầu tháng này khiến phải hủy hàng trăm ca phẫu thuật và cuộc hẹn đã được lên kế hoạch.
Mới đây, quản lý của Arlington (Massachusetts, Hoa Kỳ) - ông Jim Feeney cho biết thị trấn đã phải chịu tổn thất về mặt tài chính sau khi mắc bẫy lừa đảo của một nhóm tin tặc mạo danh đơn vị cung cấp vật liệu xây dựng. Được biết, thị trấn đã bị lừa chuyển tiền theo định kỳ hàng tháng nhằm phục vụ cho quá trình xây dựng trường học.