Rafel RAT
តួអង្គគម្រាមកំហែងជាច្រើន រួមទាំងក្រុមចារកម្មតាមអ៊ីនធឺណែត កំពុងប្រើប្រាស់ឧបករណ៍រដ្ឋបាលពីចម្ងាយ Android ប្រភពបើកចំហដែលត្រូវបានគេស្គាល់ថា Rafel RAT ។ ពួកគេក្លែងបន្លំវាជាកម្មវិធីដ៏ពេញនិយមដូចជា Instagram, WhatsApp និងកម្មវិធីពាណិជ្ជកម្មអេឡិចត្រូនិក និងកម្មវិធីប្រឆាំងមេរោគផ្សេងៗ ដើម្បីសម្រេចបាននូវគោលដៅដែលបង្កគ្រោះថ្នាក់របស់ពួកគេ។
Rafel RAT ផ្តល់ឱ្យតួអង្គទាំងនេះនូវប្រអប់ឧបករណ៍ដ៏រឹងមាំសម្រាប់ការគ្រប់គ្រង និងការគ្រប់គ្រងពីចម្ងាយ ដែលជួយសម្រួលដល់សកម្មភាពមិនសមរម្យផ្សេងៗ ដូចជាការលួចទិន្នន័យ និងការរៀបចំឧបករណ៍។ លក្ខណៈពិសេសយ៉ាងទូលំទូលាយរបស់វារួមមានការលុបកាតអេសឌី ការលុបកំណត់ហេតុការហៅទូរសព្ទ ការស្ទាក់ចាប់ការជូនដំណឹង និងសូម្បីតែដំណើរការជា ransomware ។
តារាងមាតិកា
Rafael RAT ត្រូវបានរកឃើញនៅក្នុងយុទ្ធនាការវាយប្រហារជាច្រើន។
អ្នកជំនាញផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតបានគូសបញ្ជាក់ពីការប្រើប្រាស់ Rafel RAT ដោយ APT-C-35 (ត្រូវបានគេស្គាល់ផងដែរថាជា DoNot Team, Brainworm និង Origami Elephant) ក្នុងការវាយប្រហារដែលបានទាញយកគុណវិបត្តិនៃការរចនានៅក្នុង Foxit PDF Reader ដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យទាញយកបន្ទុកដែលគំរាមកំហែង។ យុទ្ធនាការនេះដែលបានកើតឡើងក្នុងខែមេសា ឆ្នាំ 2024 បានប្រើការទាក់ទាញ PDF ប្រធានបទយោធា ដើម្បីចែកចាយមេរោគ។
អ្នកជំនាញបានកំណត់អត្តសញ្ញាណយុទ្ធនាការដែលបង្កគ្រោះថ្នាក់ប្រហែល 120 ផ្សេងៗគ្នា រួមទាំងការកំណត់គោលដៅអង្គភាពដែលមានកេរ្តិ៍ឈ្មោះខ្ពស់នៅទូទាំងប្រទេសជាច្រើនដូចជា អូស្ត្រាលី ចិន ឆេក បារាំង អាល្លឺម៉ង់ ឥណ្ឌា ឥណ្ឌូនេស៊ី អ៊ីតាលី នូវែលសេឡង់ ប៉ាគីស្ថាន រូម៉ានី រុស្ស៊ី និងសហរដ្ឋអាមេរិក។
ជនរងគ្រោះភាគច្រើនជាម្ចាស់ទូរស័ព្ទ Samsung បន្ទាប់មកអ្នកប្រើប្រាស់ឧបករណ៍ Xiaomi, Vivo និង Huawei ។ គួរកត់សម្គាល់ថាប្រហែល 87.5% នៃឧបករណ៍ដែលឆ្លងមេរោគកំពុងដំណើរការកំណែ Android ហួសសម័យ ដែលលែងទទួលបានការអាប់ដេតសុវត្ថិភាពទៀតហើយ។
Rafel RAT អាចសម្របសម្រួលជួរធំទូលាយនៃទិន្នន័យរសើប
ខ្សែសង្វាក់វាយប្រហារធម្មតាពាក់ព័ន្ធនឹងយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដើម្បីបញ្ឆោតជនរងគ្រោះឱ្យផ្តល់ការអនុញ្ញាតរំខានដល់កម្មវិធីដែលឆ្លងមេរោគ។ ការអនុញ្ញាតទាំងនេះអនុញ្ញាតឱ្យមេរោគប្រមូលទិន្នន័យរសើប រួមទាំងព័ត៌មានទំនាក់ទំនង សារ SMS (ដូចជាលេខកូដ 2FA) ទីតាំង កំណត់ហេតុការហៅទូរសព្ទ និងបញ្ជីកម្មវិធីដែលបានដំឡើងក្នុងចំណោមទិន្នន័យផ្សេងទៀត។
Rafel RAT ប្រើប្រាស់ HTTP(S) ជាចម្បងសម្រាប់ការទំនាក់ទំនង Command-and-Control (C2) ប៉ុន្តែក៏អាចប្រើប្រាស់ Discord APIs ដើម្បីទំនាក់ទំនងជាមួយអ្នកគំរាមកំហែងផងដែរ។ លើសពីនេះទៀត វាមានលក្ខណៈពិសេសបន្ទះ C2 ដែលមានមូលដ្ឋានលើ PHP ដែលអ្នកប្រើប្រាស់ដែលបានចុះឈ្មោះអាចប្រើដើម្បីចេញពាក្យបញ្ជាទៅកាន់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។
អ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Android នៅតែជាគោលដៅញឹកញាប់នៃឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត
ប្រសិទ្ធភាពរបស់ឧបករណ៍នេះនៅទូទាំងតួអង្គគម្រាមកំហែងផ្សេងៗគ្នាត្រូវបានបញ្ជាក់ដោយការចូលរួមរបស់ខ្លួននៅក្នុងប្រតិបត្តិការ ransomware ដែលធ្វើឡើងដោយអ្នកវាយប្រហារដែលគេជឿថាមកពីប្រទេសអ៊ីរ៉ង់។ អ្នកវាយប្រហារបានផ្ញើសំបុត្រតម្លៃលោះជាភាសាអារ៉ាប់តាមរយៈសារ SMS ដោយជំរុញឱ្យជនរងគ្រោះនៅប្រទេសប៉ាគីស្ថានទាក់ទងពួកគេតាមរយៈ Telegram ។
Rafel RAT បង្ហាញពីអាណាចក្រដែលកំពុងវិវឌ្ឍន៍នៃមេរោគ Android ដែលសម្គាល់ដោយការរចនាប្រភពបើកចំហ លក្ខណៈពិសេសដ៏ទូលំទូលាយ និងការដាក់ពង្រាយយ៉ាងទូលំទូលាយនៅក្នុងសកម្មភាពខុសច្បាប់ផ្សេងៗ។ ការប្រើប្រាស់យ៉ាងទូលំទូលាយរបស់វាគូសបញ្ជាក់ពីសារៈសំខាន់នៃការប្រុងប្រយ័ត្នដែលកំពុងបន្ត និងវិធានការសុវត្ថិភាពសកម្ម ដើម្បីការពារឧបករណ៍ Android ពីការកេងប្រវ័ញ្ចដ៏អាក្រក់។
