AllaKore RAT

Andmepüügikampaania on suunatud Mehhiko finantsasutustele, kasutades avatud lähtekoodiga kaugjuurdepääsu trooja AllaKore RAT-i muudetud varianti. Kampaania on seotud Ladina-Ameerikas asuva tundmatu, rahaliselt motiveeritud ohutegijaga. See ähvardav tegevus on kestnud vähemalt 2021. aastast. Andmepüügitaktika hõlmab Mehhiko Sotsiaalkindlustusinstituudiga (IMSS) seotud nimede andmist ja linkide pakkumist pealtnäha legitiimsetele dokumentidele installifaasis. Rünnakuoperatsioonis kasutatud AllaKore RAT-i kasulikku koormust on oluliselt muudetud, võimaldades ohus osalejatel edastada võltsitud pangamandaate ja kordumatuid autentimisandmeid käsu-ja juhtimise (C2) serverisse, hõlbustades finantspettust.

Küberkurjategijad sihivad AllaKore RATiga suuri korporatsioone

Tundub, et rünnakud keskenduvad konkreetselt suurettevõtetele, mille aastakäive ületab 100 miljonit dollarit. Sihtüksused hõlmavad erinevaid sektoreid, sealhulgas jaekaubandust, põllumajandust, avalikku sektorit, tootmist, transporti, kommertsteenuseid, kapitalikaupu ja pangandust.

Nakatumine toimub ZIP-failiga, mida levitatakse andmepüügi või draivi kaudu. See ZIP-fail sisaldab MSI-installerit, mis vastutab .NET-i allalaadija juurutamise eest. Allalaadija peamiste ülesannete hulka kuulub ohvri Mehhiko geograafilise asukoha kinnitamine ja muudetud AllaKore RAT-i toomine. AllaKore RAT, mis 2015. aastal identifitseeriti algselt Delphi-põhiseks RAT-iks, võib tunduda mõnevõrra põhiline, kuid sellel on võimsad võimalused, nagu klahvilogimine, ekraanihõive, failide üles-/allalaadimine ja isegi mõjutatud süsteemi kaugjuhtimine.

AllaKore RAT on varustatud täiendavate ohtlike funktsioonidega

Ohutegija on täiustanud pahavara uute funktsioonidega, mis keskenduvad peamiselt pangapettustele, sihikule eelkõige Mehhiko pankade ja krüptokauplemisplatvormide vastu. Lisafunktsioonid hõlmavad võimalust käivitada käske vastupidise kesta käivitamiseks, lõikepuhvri sisu eraldamiseks ja toomiseks, samuti täiendavate kasulike koormuste käivitamiseks.

Ohuteguri seos Ladina-Ameerikaga ilmneb Mehhiko Starlinki IP-de kasutamise kaudu kampaanias. Lisaks sisaldab muudetud RAT-i kasulik koormus hispaaniakeelseid juhiseid. Eelkõige on andmepüügipeibutised kohandatud märkimisväärse suurusega ettevõtetele, kes alluvad otse Mehhiko sotsiaalkindlustusinstituudi (IMSS) osakonnale.

See püsiv ohustaja on järjekindlalt suunanud oma jõupingutusi Mehhiko üksuste poole, eesmärgiga rahaliselt ära kasutada. Kahjulik tegevus on kestnud rohkem kui kaks aastat, lakkamise märke pole ilmnenud.

ROT-ähvardused võivad ohvritele kaasa tuua tõsiseid tagajärgi

Kaugjuurdepääsu troojalased (RAT) kujutavad endast märkimisväärset ohtu, kuna pakuvad pahatahtlikele osalejatele volitamata juurdepääsu ja kontrolli ohvri arvutile või võrgule. Siin on mõned RAT-ohtudega seotud peamised ohud:

• Volitamata juurdepääs ja juhtimine : RAT-id võimaldavad ründajatel saada ohustatud süsteemi kaugjuhtimispulti. See juurdepääsutase võimaldab neil täita käske, manipuleerida failidega, installida ja desinstallida tarkvara ning sisuliselt juhtida ohvri arvutit nii, nagu oleks ta füüsiliselt kohal.
• Andmete vargus ja spionaaž : RAT-e kasutatakse tavaliselt privaatse teabe, näiteks sisselogimismandaatide, finantsandmete, isikuandmete ja intellektuaalomandi kogumiseks. Ründajad saavad vaikselt jälgida kasutajate tegevusi, jäädvustada klahvivajutusi ja pääseda juurde failidele, mis viib potentsiaalsete andmetega seotud rikkumiste ja ettevõtte spionaažini.
• Järelevalve ja privaatsuse invasioon : kui RAT on kasutusele võetud, saavad ründajad nende teadmata aktiveerida ohvri veebikaamera ja mikrofoni, mis viib volitamata jälgimiseni. Sellel privaatsuse rikkumisel võivad olla üksikisikutele ja organisatsioonidele olulised tagajärjed.
• Levitamine ja külgmine liikumine : RAT-idel on sageli võimalus võrgus ise paljuneda ja levida, võimaldades ründajatel organisatsiooni infrastruktuuri kaudu külgsuunas liikuda. See võib kaasa tuua mitme süsteemi ohustamise ja üldise turvaohu eskaleerumise.
• Rahaline kaotus ja pettus : panganduspettustega toimetulevad RAT-id võivad olla suunatud finantsasutuste ja kasutajate vastu, põhjustades volitamata tehinguid, vahendite vargusi ja muid rahalisi kahjusid. Krüptokauplemisplatvormid on haavatavad sihtmärgid ka rahalist kasu taotlevatele ründajatele.
• Teenuste katkestamine : ründajad võivad kasutada RAT-e teenuste katkestamiseks, muutes või kustutades kriitilisi faile, muutes süsteemi konfiguratsioone või käivitades teenuse keelamise rünnakuid. See võib kaasa tuua seisakuid, rahalisi kaotusi ja kahjustada organisatsiooni mainet.
• Püsivus ja tuvastamise raskus : RAT-id on loodud selleks, et säilitada püsivus ohustatud süsteemides, muutes nende tuvastamise ja eemaldamise keeruliseks. Nad võivad turvameetmetest mööda hiilimiseks kasutada erinevaid kõrvalehoidmismeetodeid, mis muudab traditsiooniliste viirusetõrjelahenduste jaoks ohu tuvastamise ja leevendamise keeruliseks.
• Geopoliitiline ja korporatiivne spionaaž : riigi toetatud osalejad ja ettevõtete spionaažirühmad võivad kasutada RAT-e strateegilistel eesmärkidel, et saada juurdepääs tundlikule teabele, intellektuaalomandile või salastatud andmetele. Sellel võib olla riigi julgeoleku ja mõjutatud organisatsioonide jaoks kaugeleulatuvaid tulemusi.

RAT-ohtudega seotud riskide maandamiseks peaksid organisatsioonid ja üksikisikud andmepüügirünnakute äratundmiseks ja vältimiseks kasutama tugevaid küberjulgeolekumeetmeid, sealhulgas regulaarseid turbeauditeid, võrgu jälgimist, lõpp-punktide kaitset ja kasutajate teadlikkuse tõstmise koolitust.