AllaKore RAT
یک کمپین spear-phishing موسسات مالی مکزیکی را هدف قرار می دهد و از یک نوع تغییر یافته از AllaKore RAT، یک تروجان دسترسی از راه دور منبع باز استفاده می کند. این کمپین با یک عامل تهدید ناشناس با انگیزه مالی مستقر در آمریکای لاتین مرتبط است. این فعالیت تهدیدآمیز حداقل از سال 2021 ادامه داشته است. تاکتیکهای فیشینگ شامل استفاده از قراردادهای نامگذاری مرتبط با مؤسسه تأمین اجتماعی مکزیک (IMSS) و ارائه پیوندهایی به اسناد به ظاهر قانونی در مرحله نصب است. محموله AllaKore RAT مورد استفاده در عملیات حمله دستخوش تغییرات اساسی شده است، که عاملان تهدید را قادر میسازد تا اعتبارات بانکی سرقتشده و جزئیات احراز هویت منحصربهفرد را به یک سرور Command-and-Control (C2) منتقل کنند و کلاهبرداری مالی را تسهیل کند.
فهرست مطالب
مجرمان سایبری شرکت های بزرگ را با AllaKore RAT هدف قرار می دهند
به نظر می رسد این حملات به طور خاص بر شرکت های بزرگ با درآمد سالانه بیش از 100 میلیون دلار متمرکز شده است. نهادهای مورد نظر بخشهای مختلفی از جمله خردهفروشی، کشاورزی، بخش عمومی، تولید، حملونقل، خدمات بازرگانی، کالاهای سرمایهای و بانکداری را شامل میشوند.
عفونت با یک فایل ZIP که از طریق فیشینگ یا یک درایو با مصالحه توزیع می شود رخ می دهد. این فایل ZIP حاوی یک نصب کننده MSI است که مسئول استقرار یک دانلود کننده دات نت است. وظایف اصلی دانلود کننده شامل تأیید موقعیت جغرافیایی مکزیکی قربانی و واکشی AllaKore RAT اصلاح شده است. AllaKore RAT، که در ابتدا در سال 2015 به عنوان یک RAT مبتنی بر دلفی شناخته شد، ممکن است تا حدودی ابتدایی به نظر برسد، اما دارای قابلیتهای قدرتمندی مانند keylogging، ضبط صفحه، آپلود/دانلود فایل، و حتی کنترل از راه دور سیستم آسیبدیده است.
AllaKore RAT به ویژگی های تهدید کننده اضافی مجهز شده است
عامل تهدید این بدافزار را با عملکردهای جدیدی که عمدتاً بر تقلب بانکی متمرکز شده است، به ویژه بانکهای مکزیکی و پلتفرمهای معاملات ارزهای دیجیتال را هدف قرار داده است. ویژگی های اضافه شده عبارتند از توانایی شروع دستورات برای راه اندازی پوسته معکوس، استخراج محتوای کلیپ بورد و واکشی، و همچنین اجرای بارهای اضافی.
ارتباط این بازیگر تهدید با آمریکای لاتین از طریق استفاده از IP های مکزیک Starlink در این کمپین مشهود است. علاوه بر این، محموله RAT اصلاح شده شامل دستورالعمل های اسپانیایی زبان است. قابل ذکر است که فریب های فیشینگ برای شرکت هایی با اندازه قابل توجهی طراحی شده اند که مستقیماً به بخش مؤسسه تأمین اجتماعی مکزیک (IMSS) گزارش می دهند.
این بازیگر دائمی تهدید به طور مداوم تلاش های خود را به سمت نهادهای مکزیکی با هدف بهره برداری مالی هدایت می کند. این فعالیت مضر برای بیش از دو سال دوام آورده است و هیچ نشانه ای از توقف را نشان نمی دهد.
تهدیدات RAT ممکن است منجر به عواقب شدید برای قربانیان شود
تروجان های دسترسی از راه دور (RAT) خطرات قابل توجهی را به همراه دارند زیرا دسترسی و کنترل غیرمجاز بر روی رایانه یا شبکه قربانی را برای عوامل مخرب فراهم می کنند. در اینجا برخی از خطرات کلیدی مرتبط با تهدیدات RAT وجود دارد:
- دسترسی و کنترل غیرمجاز : RAT ها به مهاجمان اجازه می دهند تا کنترل از راه دور یک سیستم در معرض خطر را به دست آورند. این سطح دسترسی آنها را قادر میسازد تا دستورات را اجرا کنند، فایلها را دستکاری کنند، نرمافزار را نصب و حذف کنند، و اساساً رایانه قربانی را طوری کنترل کنند که گویی به صورت فیزیکی حضور دارند.
- سرقت داده و جاسوسی : موشهای صحرایی معمولاً برای جمعآوری اطلاعات خصوصی، مانند اعتبارنامه ورود، دادههای مالی، اطلاعات شخصی و مالکیت معنوی استفاده میشوند. مهاجمان میتوانند بیصدا بر فعالیتهای کاربر نظارت کنند، ضربههای کلید را ضبط کنند و به فایلها دسترسی داشته باشند که منجر به نقض احتمالی دادهها و جاسوسی شرکتها میشود.
- نظارت و تهاجم به حریم خصوصی : هنگامی که یک RAT مستقر می شود، مهاجمان می توانند وب کم و میکروفون قربانی را بدون اطلاع آنها فعال کنند، که منجر به نظارت غیرمجاز می شود. این نقض حریم خصوصی می تواند عواقب معناداری برای افراد و سازمان ها داشته باشد.
- انتشار و حرکت جانبی : موشهای صحرایی اغلب این توانایی را دارند که خود را تکثیر کرده و در یک شبکه پخش کنند و به مهاجمان اجازه میدهند تا در زیرساخت سازمان حرکت کنند. این می تواند منجر به به خطر افتادن چندین سیستم و تشدید تهدید امنیتی کلی شود.
- زیان مالی و تقلب : RATها با قابلیت کلاهبرداری بانکی می توانند مؤسسات مالی و کاربران را هدف قرار دهند که منجر به تراکنش های غیرمجاز، سرقت وجوه و سایر زیان های مالی شود. پلتفرم های معاملاتی کریپتو نیز اهداف آسیب پذیری برای مهاجمانی هستند که به دنبال منافع مالی هستند.
- اختلال در سرویسها : مهاجمان ممکن است از RAT برای ایجاد اختلال در سرویسها از طریق تغییر یا حذف فایلهای حیاتی، تغییر پیکربندیهای سیستم یا راهاندازی حملات انکار سرویس استفاده کنند. این می تواند منجر به خرابی، ضررهای مالی و آسیب به اعتبار یک سازمان شود.
- پایداری و دشواری تشخیص : موشهای صحرایی برای حفظ پایداری در سیستمهای در معرض خطر طراحی شدهاند و شناسایی و حذف آنها را به چالش میکشند. آنها ممکن است از تکنیکهای فرار مختلف برای دور زدن اقدامات امنیتی استفاده کنند که شناسایی و کاهش تهدید را برای راهحلهای آنتی ویروس سنتی دشوار میکند.
- جاسوسی ژئوپلیتیکی و شرکتی : بازیگران تحت حمایت دولت و گروه های جاسوسی شرکتی ممکن است از RAT برای اهداف استراتژیک برای دسترسی به اطلاعات حساس، مالکیت معنوی یا داده های طبقه بندی شده استفاده کنند. این می تواند نتایج گسترده ای برای امنیت ملی و سازمان های آسیب دیده داشته باشد.
برای کاهش خطرات مرتبط با تهدیدات RAT، سازمان ها و افراد باید از اقدامات امنیتی سایبری قوی، از جمله ممیزی های امنیتی منظم، نظارت بر شبکه، حفاظت از نقطه پایانی، و آموزش آگاهی کاربر برای شناسایی و جلوگیری از حملات فیشینگ استفاده کنند.