AllaKore RAT

Spear-phishingová kampaň se zaměřuje na mexické finanční instituce a využívá upravenou variantu AllaKore RAT, open source trojského koně pro vzdálený přístup. Kampaň je spojena s neidentifikovaným finančně motivovaným hrozbou působícím v Latinské Americe. Tato ohrožující aktivita probíhá minimálně od roku 2021. Taktika phishingu zahrnuje využívání konvencí pojmenování spojených s Mexickým institutem sociálního zabezpečení (IMSS) a poskytování odkazů na zdánlivě legitimní dokumenty během fáze instalace. Užitná část AllaKore RAT použitá v útočné operaci prošla podstatnými úpravami, což umožňuje aktérům hrozeb přenášet ukradená bankovní přihlašovací údaje a jedinečné autentizační údaje na server Command-and-Control (C2), což usnadňuje finanční podvody.

Kyberzločinci cílí na velké korporace pomocí AllaKore RAT

Zdá se, že útoky se konkrétně zaměřují na velké korporace s ročními příjmy přesahujícími 100 milionů dolarů. Cílové subjekty pokrývají různá odvětví, včetně maloobchodu, zemědělství, veřejného sektoru, výroby, dopravy, komerčních služeb, kapitálových statků a bankovnictví.

K infekci dochází u souboru ZIP distribuovaného prostřednictvím phishingu nebo kompromisu typu drive-by. Tento soubor ZIP obsahuje instalační program MSI zodpovědný za nasazení .NET downloaderu. Mezi primární úkoly stahovače patří potvrzení mexické geolokace oběti a načtení upraveného AllaKore RAT. AllaKore RAT, původně identifikovaný v roce 2015 jako RAT založený na Delphi, se může zdát poněkud základní, ale má silné funkce, jako je keylogging, snímání obrazovky, nahrávání/stahování souborů a dokonce i dálkové ovládání postiženého systému.

AllaKore RAT byl vybaven dalšími funkcemi pro ohrožení

Hrozba vylepšila malware o nové funkce primárně zaměřené na bankovní podvody, konkrétně zaměřené na mexické banky a platformy pro obchodování s kryptoměnami. Mezi přidané funkce patří schopnost spouštět příkazy pro spuštění reverzního shellu, extrahování obsahu schránky a načítání, stejně jako provádění dalších užitečných zatížení.

Spojení aktéra hrozby s Latinskou Amerikou je evidentní díky použití Mexico Starlink IPs v kampani. Upravené užitečné zatížení RAT navíc obsahuje instrukce ve španělštině. Pozoruhodné je, že phishingové návnady jsou přizpůsobeny společnostem významné velikosti, které jsou přímo podřízeny oddělení Mexického institutu sociálního zabezpečení (IMSS).

Tento přetrvávající hrozba neustále směřuje své úsilí k mexickým subjektům se záměrem finančního vykořisťování. Škodlivá činnost trvá déle než dva roky a nevykazuje žádné známky ukončení.

Hrozby RAT mohou mít pro oběti vážné následky

Trojské koně se vzdáleným přístupem (RAT) představují značné nebezpečí, protože poskytují neoprávněný přístup a kontrolu nad počítačem nebo sítí oběti zlomyslným aktérům. Zde jsou některá klíčová nebezpečí spojená s hrozbami RAT:

• Neoprávněný přístup a kontrola : RAT umožňují útočníkům získat vzdálenou kontrolu nad napadeným systémem. Tato úroveň přístupu jim umožňuje provádět příkazy, manipulovat se soubory, instalovat a odinstalovat software a v podstatě ovládat počítač oběti, jako by byla fyzicky přítomna.
• Krádež dat a špionáž : RAT se běžně používají ke shromažďování soukromých informací, jako jsou přihlašovací údaje, finanční údaje, osobní údaje a duševní vlastnictví. Útočníci mohou tiše monitorovat aktivity uživatelů, zachytit stisknuté klávesy a přistupovat k souborům, což vede k potenciálnímu narušení dat a podnikové špionáži.
• Sledování a narušení soukromí : Jakmile je RAT nasazen, útočníci mohou aktivovat webovou kameru a mikrofon oběti bez jejího vědomí, což vede k neoprávněnému sledování. Toto porušení soukromí může mít významné důsledky pro jednotlivce i organizace.
• Propagace a laterální pohyb : RAT mají často schopnost se samy replikovat a šířit v rámci sítě, což umožňuje útočníkům pohybovat se laterálně skrz infrastrukturu organizace. To může mít za následek kompromitaci více systémů a eskalaci celkové bezpečnostní hrozby.
• Finanční ztráty a podvody : RAT se schopnostmi pro bankovní podvody se mohou zaměřovat na finanční instituce a uživatele, což vede k neoprávněným transakcím, krádežím finančních prostředků a dalším finančním ztrátám. Krypto obchodní platformy jsou také zranitelnými cíli útočníků, kteří hledají finanční zisky.
• Narušení služeb : Útočníci mohou použít RAT k narušení služeb úpravou nebo odstraněním důležitých souborů, změnou konfigurace systému nebo spuštěním útoků typu denial-of-service. To může vést k prostojům, finančním ztrátám a poškození dobrého jména organizace.
• Perzistence a obtížnost detekce : RAT jsou navrženy tak, aby udržely perzistenci na kompromitovaných systémech, což ztěžuje jejich detekci a odstranění. Mohou používat různé únikové techniky k obcházení bezpečnostních opatření, což tradičním antivirovým řešením ztěžuje identifikaci a zmírnění hrozby.
• Geopolitická a korporátní špionáž : Státem podporovaní aktéři a korporátní špionážní skupiny mohou využívat RAT pro strategické účely k získání přístupu k citlivým informacím, duševnímu vlastnictví nebo utajovaným údajům. To může mít dalekosáhlé výsledky pro národní bezpečnost a postižené organizace.

Ke zmírnění rizik spojených s hrozbami RAT by organizace a jednotlivci měli používat robustní opatření v oblasti kybernetické bezpečnosti, včetně pravidelných bezpečnostních auditů, monitorování sítě, ochrany koncových bodů a školení informovanosti uživatelů, aby bylo možné rozpoznat a vyhnout se phishingovým útokům.