Multi-License Discount Quote
Trusseldatabase Remote Administration Tools AllaKore RAT

AllaKore RAT

Med Mezo i Remote Administration Tools, Advanced Persistent Threat (APT)
Oversæt til:
Dansk

En spear-phishing-kampagne er rettet mod mexicanske finansielle institutioner, der anvender en modificeret variant af AllaKore RAT, en open source-fjernadgangstrojaner. Kampagnen er knyttet til en uidentificeret økonomisk motiveret trusselsaktør baseret i Latinamerika. Denne truende aktivitet har været i gang siden mindst 2021. Phishing-taktikken involverer at bruge navnekonventioner, der er forbundet med det mexicanske socialsikringsinstitut (IMSS) og at give links til tilsyneladende legitime dokumenter under installationsfasen. AllaKore RAT-nyttelasten, der blev brugt i angrebsoperationen, har gennemgået væsentlige ændringer, hvilket gør det muligt for trusselsaktører at overføre stjålne bankoplysninger og unikke autentificeringsdetaljer til en Command-and-Control-server (C2), hvilket letter økonomisk svindel.

Cyberkriminelle målretter mod store virksomheder med AllaKore RAT

Angrebene ser ud til at fokusere specifikt på store virksomheder med årlige indtægter på over 100 millioner dollars. De målrettede enheder spænder over forskellige sektorer, herunder detailhandel, landbrug, offentlig sektor, fremstilling, transport, kommercielle tjenester, kapitalgoder og bankvirksomhed.

Infektionen sker med en ZIP-fil distribueret gennem phishing eller et drive-by-kompromis. Denne ZIP-fil indeholder et MSI-installationsprogram, der er ansvarligt for at implementere en .NET-downloader. Downloaderens primære opgaver inkluderer at bekræfte ofrets mexicanske geolocation og hente den modificerede AllaKore RAT. AllaKore RAT, der oprindeligt blev identificeret i 2015 som en Delphi-baseret RAT, kan virke noget grundlæggende, men har potente egenskaber såsom keylogging, skærmfangst, upload/download af filer og endda fjernstyring af det berørte system.

AllaKore RAT er blevet udstyret med yderligere truende funktioner

Trusselsaktøren har forbedret malwaren med nye funktionaliteter, der primært er fokuseret på banksvindel, specifikt rettet mod mexicanske banker og kryptohandelsplatforme. De tilføjede funktioner inkluderer muligheden for at starte kommandoer til at starte en omvendt shell, udtrække udklipsholderindhold og hente, samt udføre yderligere nyttelast.

Trusselsaktørens forbindelse til Latinamerika er tydelig gennem brugen af Mexico Starlink IP'er i kampagnen. Derudover inkluderer den modificerede RAT-nyttelast spansksprogede instruktioner. Navnlig er phishing-lokkerne skræddersyet til virksomheder af betydelig størrelse, der direkte rapporterer til afdelingen for det mexicanske socialsikringsinstitut (IMSS).

Denne vedvarende trussel aktør har konsekvent rettet sin indsats mod mexicanske enheder med den hensigt at udnytte økonomisk. Den skadelige aktivitet har bestået i mere end to år og viser ingen tegn på ophør.

RAT-trusler kan føre til alvorlige konsekvenser for ofre

Remote Access Trojans (RAT'er) udgør betydelige farer, da de giver uautoriseret adgang og kontrol over et offers computer eller netværk til ondsindede aktører. Her er nogle vigtige farer forbundet med RAT-trusler:

  • Uautoriseret adgang og kontrol : RAT'er giver angribere mulighed for at få fjernstyring af et kompromitteret system. Dette adgangsniveau gør det muligt for dem at udføre kommandoer, manipulere filer, installere og afinstallere software og i det væsentlige kontrollere ofrets computer, som om de var fysisk til stede.
  • Datatyveri og spionage : RAT'er bruges almindeligvis til at indsamle private oplysninger, såsom loginoplysninger, økonomiske data, personlige oplysninger og intellektuel ejendom. Angribere kan lydløst overvåge brugeraktiviteter, fange tastetryk og få adgang til filer, hvilket fører til potentielle databrud og virksomhedsspionage.
  • Overvågning og privatlivsinvasion : Når en RAT er installeret, kan angribere aktivere ofrets webcam og mikrofon uden deres viden, hvilket fører til uautoriseret overvågning. Denne krænkelse af privatlivets fred kan have betydningsfulde konsekvenser for enkeltpersoner og organisationer.
  • Udbredelse og lateral bevægelse : RAT'er har ofte evnen til selv at replikere og sprede sig inden for et netværk, hvilket gør det muligt for angribere at bevæge sig sideværts gennem en organisations infrastruktur. Dette kan resultere i kompromittering af flere systemer og eskalering af den overordnede sikkerhedstrussel.
  • Finansielt tab og svindel : RAT'er med kapacitet til banksvig kan målrette mod finansielle institutioner og brugere, hvilket fører til uautoriserede transaktioner, tyveri af penge og andre økonomiske tab. Krypto-handelsplatforme er også sårbare mål for angribere, der søger økonomiske gevinster.
  • Afbrydelse af tjenester : Angribere kan bruge RAT'er til at forstyrre tjenester ved at ændre eller slette kritiske filer, ændre systemkonfigurationer eller iværksætte lammelsesangreb. Dette kan føre til nedetid, økonomiske tab og skade på en organisations omdømme.
  • Persistens og detektionsbesvær : RAT'er er designet til at opretholde persistens på kompromitterede systemer, hvilket gør dem udfordrende at opdage og fjerne. De kan bruge forskellige unddragelsesteknikker til at omgå sikkerhedsforanstaltninger, hvilket gør det vanskeligt for traditionelle antivirusløsninger at identificere og afbøde truslen.
  • Geopolitisk og virksomhedsspionage : Statssponserede aktører og virksomhedsspionagegrupper kan bruge RAT'er til strategiske formål for at få adgang til følsomme oplysninger, intellektuel ejendom eller klassificerede data. Dette kan have vidtrækkende resultater for den nationale sikkerhed og de berørte organisationer.

For at afbøde de risici, der er forbundet med RAT-trusler, bør organisationer og enkeltpersoner anvende robuste cybersikkerhedsforanstaltninger, herunder regelmæssige sikkerhedsaudits, netværksovervågning, slutpunktsbeskyttelse og træning i brugerbevidsthed for at genkende og undgå phishing-angreb.

Trending

Mest sete

Indlæser...