AllaKore RAT

קמפיין דיוג חנית מכוון למוסדות פיננסיים מקסיקניים, תוך שימוש בגרסה שונה של AllaKore RAT, טרויאני גישה מרחוק בקוד פתוח. הקמפיין מקושר לשחקן איום לא מזוהה בעל מוטיבציה פיננסית שבסיסו באמריקה הלטינית. פעילות מאיימת זו נמשכת לפחות מאז 2021. טקטיקת ההתחזות כוללת שימוש במוסכמות שמות הקשורות למוסד לביטוח לאומי מקסיקני (IMSS) ומתן קישורים למסמכים לגיטימיים לכאורה במהלך שלב ההתקנה. מטען AllaKore RAT המשמש בפעולת התקיפה עבר שינויים מהותיים, המאפשרים לגורמי איומים להעביר אישורי בנק שגנבו ופרטי אימות ייחודיים לשרת פיקוד ושליטה (C2), מה שמקל על הונאה פיננסית.

פושעי סייבר מכוונים לתאגידים גדולים עם AllaKore RAT

נראה שההתקפות מתמקדות במיוחד בתאגידים גדולים עם הכנסות שנתיות העולה על 100 מיליון דולר. הגופים הממוקדים משתרעים על מגזרים שונים, לרבות קמעונאות, חקלאות, מגזר ציבורי, ייצור, תחבורה, שירותים מסחריים, מוצרי הון ובנקאות.

ההדבקה מתרחשת עם קובץ ZIP המופץ באמצעות דיוג או פשרה של Drive-by. קובץ ZIP זה מכיל מתקין MSI האחראי על פריסת תוכנת הורדת NET. המשימות העיקריות של ההורדה כוללות אישור המיקום הגיאוגרפי המקסיקני של הקורבן והחזרת ה-AllKore RAT המשונה. AllaKore RAT, שזוהה בתחילה בשנת 2015 כ-RAT מבוסס דלפי, עשוי להיראות מעט בסיסי אך בעל יכולות חזקות כגון רישום מקשים, לכידת מסך, העלאת/הורדה של קבצים ואפילו שליטה מרחוק על המערכת המושפעת.

ה-AllKore RAT צויד בתכונות מאיימות נוספות

שחקן האיום שיפר את התוכנה הזדונית עם פונקציונליות חדשה המתמקדת בעיקר בהונאות בנקאיות, המכוונות במיוחד לבנקים מקסיקניים ולפלטפורמות מסחר קריפטו. התכונות הנוספות כוללות את היכולת ליזום פקודות להפעלת מעטפת הפוכה, חילוץ תוכן לוח ואחזור, כמו גם ביצוע מטענים נוספים.

הקשר של שחקן האיום לאמריקה הלטינית ניכר דרך השימוש בכתובות IP של מקסיקו Starlink בקמפיין. בנוסף, מטען ה-RAT שהשתנה כולל הוראות בשפה הספרדית. יש לציין כי פתיונות הדיוג מותאמים לחברות בגודל משמעותי שכפופות ישירות למחלקת הביטוח הלאומי המקסיקני (IMSS).

שחקן האיום העיקש הזה מכוון בעקביות את מאמציו כלפי ישויות מקסיקניות מתוך כוונה לניצול פיננסי. הפעילות המזיקה נמשכת כבר יותר משנתיים, ללא אינדיקציות להפסקה.

איומי RAT עשויים להוביל לתוצאות חמורות עבור הקורבנות

סוסים טרויאניים לגישה מרחוק (RAT) מהווים סכנות משמעותיות מכיוון שהם מספקים גישה ושליטה בלתי מורשית על המחשב או הרשת של הקורבן לשחקנים זדוניים. להלן כמה סכנות מרכזיות הקשורות לאיומי RAT:

• גישה ובקרה בלתי מורשית : RATs מאפשרים לתוקפים להשיג שליטה מרחוק על מערכת שנפרצה. רמת גישה זו מאפשרת להם לבצע פקודות, לתפעל קבצים, להתקין ולהסיר תוכנות, ובעצם לשלוט במחשב של הקורבן כאילו היו נוכחות פיזית.
• גניבת נתונים וריגול : RATs משמשים בדרך כלל לאיסוף מידע פרטי, כגון אישורי כניסה, נתונים פיננסיים, מידע אישי וקניין רוחני. תוקפים יכולים לנטר בשקט את פעילויות המשתמש, ללכוד הקשות ולגשת לקבצים, מה שמוביל לפרצות מידע אפשריות וריגול תאגידי.
• מעקב ופרישת פרטיות : לאחר פריסת RAT, התוקפים יכולים להפעיל את מצלמת האינטרנט והמיקרופון של הקורבן ללא ידיעתם, מה שיוביל למעקב לא מורשה. פגיעה זו בפרטיות יכולה להיות בעלת השלכות משמעותיות עבור אנשים וארגונים.
• התפשטות ותנועה לרוחב : ל-RAT יש לעתים קרובות את היכולת לשכפל את עצמם ולהתפשט בתוך רשת, מה שמאפשר לתוקפים לנוע לרוחב דרך תשתית הארגון. זה יכול לגרום להתפשרות של מערכות מרובות ולהסלמה של איום האבטחה הכולל.
• הפסד פיננסי והונאה : RATs עם יכולות להונאה בנקאית יכולים לכוון למוסדות פיננסיים ולמשתמשים, מה שמוביל לעסקאות לא מורשות, גניבת כספים והפסדים כספיים אחרים. פלטפורמות מסחר קריפטו הן גם מטרות פגיעות לתוקפים המחפשים רווחים כספיים.
• שיבוש שירותים : תוקפים עשויים להשתמש ב-RATs כדי לשבש שירותים על ידי שינוי או מחיקה של קבצים קריטיים, שינוי תצורות מערכת או הפעלת התקפות מניעת שירות. זה יכול להוביל להשבתה, הפסדים כספיים ופגיעה במוניטין של הארגון.
• התמדה וקשיי זיהוי : RATs נועדו לשמור על התמדה במערכות שנפגעו, מה שהופך אותן למאתגרות לזיהוי והסרה. הם עשויים להשתמש בטכניקות התחמקות שונות כדי לעקוף אמצעי אבטחה, מה שמקשה על פתרונות אנטי וירוס מסורתיים לזהות ולהפחית את האיום.
• ריגול גיאופוליטי ותאגידי : שחקנים בחסות המדינה וקבוצות ריגול תאגידיים עשויים להשתמש ב-RAT למטרות אסטרטגיות כדי לקבל גישה למידע רגיש, קניין רוחני או נתונים מסווגים. זה יכול להביא לתוצאות מרחיקות לכת עבור הביטחון הלאומי והארגונים שנפגעו.

כדי לצמצם את הסיכונים הקשורים לאיומי RAT, ארגונים ויחידים צריכים להשתמש באמצעי אבטחת סייבר חזקים, לרבות ביקורת אבטחה רגילה, ניטור רשת, הגנת נקודות קצה והדרכה למודעות משתמשים כדי לזהות ולהימנע מתקפות דיוג.