अल्लाकोर आरएटी
एक स्पीयर-फ़िशिंग अभियान मैक्सिकन वित्तीय संस्थानों को लक्षित कर रहा है, जो एक ओपन-सोर्स रिमोट एक्सेस ट्रोजन, अल्लाकोर आरएटी के एक संशोधित संस्करण को नियोजित कर रहा है। यह अभियान लैटिन अमेरिका में स्थित एक अज्ञात वित्तीय रूप से प्रेरित धमकी देने वाले अभिनेता से जुड़ा है। यह धमकी भरी गतिविधि कम से कम 2021 से जारी है। फ़िशिंग रणनीति में मैक्सिकन सोशल सिक्योरिटी इंस्टीट्यूट (आईएमएसएस) से जुड़े नामकरण सम्मेलनों का उपयोग करना और इंस्टॉलेशन चरण के दौरान प्रतीत होने वाले वैध दस्तावेजों के लिंक प्रदान करना शामिल है। हमले के ऑपरेशन में इस्तेमाल किए गए अल्लाकोर आरएटी पेलोड में पर्याप्त संशोधन किए गए हैं, जिससे धमकी देने वाले अभिनेताओं को चोरी की गई बैंकिंग क्रेडेंशियल्स और अद्वितीय प्रमाणीकरण विवरण कमांड-एंड-कंट्रोल (सी 2) सर्वर पर प्रसारित करने में सक्षम बनाया गया है, जिससे वित्तीय धोखाधड़ी की सुविधा मिलती है।
विषयसूची
साइबर अपराधी अल्लाकोर आरएटी के साथ बड़े निगमों को निशाना बनाते हैं
ऐसा प्रतीत होता है कि हमले विशेष रूप से 100 मिलियन डॉलर से अधिक वार्षिक राजस्व वाले बड़े निगमों पर केंद्रित हैं। लक्षित संस्थाएँ खुदरा, कृषि, सार्वजनिक क्षेत्र, विनिर्माण, परिवहन, वाणिज्यिक सेवाएँ, पूंजीगत सामान और बैंकिंग सहित विभिन्न क्षेत्रों में फैली हुई हैं।
संक्रमण फ़िशिंग या ड्राइव-बाय कॉम्प्रोमाइज़ के माध्यम से वितरित ज़िप फ़ाइल के साथ होता है। इस ज़िप फ़ाइल में एक MSI इंस्टॉलर है जो .NET डाउनलोडर को तैनात करने के लिए जिम्मेदार है। डाउनलोडर के प्राथमिक कार्यों में पीड़ित के मैक्सिकन जियोलोकेशन की पुष्टि करना और संशोधित अल्लाकोर आरएटी प्राप्त करना शामिल है। AllaKore RAT, जिसे शुरू में 2015 में डेल्फ़ी-आधारित RAT के रूप में पहचाना गया था, कुछ हद तक बुनियादी लग सकता है लेकिन इसमें कीलॉगिंग, स्क्रीन कैप्चरिंग, फ़ाइल अपलोड/डाउनलोड और यहां तक कि प्रभावित सिस्टम के रिमोट कंट्रोल जैसी शक्तिशाली क्षमताएं हैं।
अल्लाकोर आरएटी को अतिरिक्त खतरनाक सुविधाओं से सुसज्जित किया गया है
धमकी देने वाले अभिनेता ने मुख्य रूप से बैंकिंग धोखाधड़ी पर केंद्रित नई कार्यक्षमताओं के साथ मैलवेयर को बढ़ाया है, विशेष रूप से मैक्सिकन बैंकों और क्रिप्टो ट्रेडिंग प्लेटफॉर्म को लक्षित किया है। अतिरिक्त सुविधाओं में रिवर्स शेल लॉन्च करने, क्लिपबोर्ड सामग्री निकालने और लाने के साथ-साथ अतिरिक्त पेलोड निष्पादित करने के लिए कमांड शुरू करने की क्षमता शामिल है।
अभियान में मेक्सिको स्टारलिंक आईपी के उपयोग से धमकी देने वाले अभिनेता का लैटिन अमेरिका से संबंध स्पष्ट है। इसके अतिरिक्त, संशोधित RAT पेलोड में स्पैनिश भाषा के निर्देश शामिल हैं। विशेष रूप से, फ़िशिंग लालच महत्वपूर्ण आकार की कंपनियों के अनुरूप होते हैं जो सीधे मैक्सिकन सोशल सिक्योरिटी इंस्टीट्यूट (आईएमएसएस) विभाग को रिपोर्ट करते हैं।
यह लगातार धमकी देने वाला अभिनेता वित्तीय शोषण के इरादे से लगातार मैक्सिकन संस्थाओं की ओर अपने प्रयासों को निर्देशित कर रहा है। हानिकारक गतिविधि दो वर्षों से अधिक समय से जारी है, लेकिन समाप्ति का कोई संकेत नहीं दिख रहा है।
आरएटी धमकियों से पीड़ितों को गंभीर परिणाम भुगतने पड़ सकते हैं
रिमोट एक्सेस ट्रोजन (आरएटी) महत्वपूर्ण खतरे पैदा करते हैं क्योंकि वे दुर्भावनापूर्ण अभिनेताओं को पीड़ित के कंप्यूटर या नेटवर्क पर अनधिकृत पहुंच और नियंत्रण प्रदान करते हैं। यहां RAT खतरों से जुड़े कुछ प्रमुख खतरे हैं:
- अनधिकृत पहुंच और नियंत्रण : आरएटी हमलावरों को एक समझौता किए गए सिस्टम का रिमोट कंट्रोल हासिल करने की अनुमति देता है। पहुंच का यह स्तर उन्हें कमांड निष्पादित करने, फ़ाइलों में हेरफेर करने, सॉफ़्टवेयर इंस्टॉल और अनइंस्टॉल करने और अनिवार्य रूप से पीड़ित के कंप्यूटर को नियंत्रित करने में सक्षम बनाता है जैसे कि वे शारीरिक रूप से मौजूद थे।
- डेटा चोरी और जासूसी : RAT का उपयोग आमतौर पर निजी जानकारी, जैसे लॉगिन क्रेडेंशियल, वित्तीय डेटा, व्यक्तिगत जानकारी और बौद्धिक संपदा एकत्र करने के लिए किया जाता है। हमलावर चुपचाप उपयोगकर्ता गतिविधियों की निगरानी कर सकते हैं, कीस्ट्रोक्स पर कब्जा कर सकते हैं और फ़ाइलों तक पहुंच सकते हैं, जिससे संभावित डेटा उल्लंघन और कॉर्पोरेट जासूसी हो सकती है।
- निगरानी और गोपनीयता आक्रमण : एक बार आरएटी तैनात होने के बाद, हमलावर पीड़ित के वेबकैम और माइक्रोफ़ोन को उनकी जानकारी के बिना सक्रिय कर सकते हैं, जिससे अनधिकृत निगरानी हो सकती है। गोपनीयता के इस उल्लंघन से व्यक्तियों और संगठनों पर सार्थक परिणाम हो सकते हैं।
- प्रसार और पार्श्व आंदोलन : आरएटी में अक्सर नेटवर्क के भीतर स्वयं-प्रतिकृति और फैलने की क्षमता होती है, जिससे हमलावरों को संगठन के बुनियादी ढांचे के माध्यम से पार्श्व रूप से स्थानांतरित करने की अनुमति मिलती है। इसके परिणामस्वरूप कई प्रणालियों से समझौता हो सकता है और समग्र सुरक्षा खतरा बढ़ सकता है।
- वित्तीय हानि और धोखाधड़ी : बैंकिंग धोखाधड़ी की क्षमता वाले आरएटी वित्तीय संस्थानों और उपयोगकर्ताओं को लक्षित कर सकते हैं, जिससे अनधिकृत लेनदेन, फंड की चोरी और अन्य वित्तीय नुकसान हो सकते हैं। वित्तीय लाभ चाहने वाले हमलावरों के लिए क्रिप्टो ट्रेडिंग प्लेटफॉर्म भी कमजोर लक्ष्य हैं।
- सेवाओं में व्यवधान : हमलावर महत्वपूर्ण फ़ाइलों को संशोधित या हटाकर, सिस्टम कॉन्फ़िगरेशन में बदलाव करके, या सेवा से इनकार करने वाले हमलों को लॉन्च करके सेवाओं को बाधित करने के लिए RAT का उपयोग कर सकते हैं। इससे डाउनटाइम, वित्तीय नुकसान और संगठन की प्रतिष्ठा को नुकसान हो सकता है।
- दृढ़ता और पता लगाने में कठिनाई : आरएटी को समझौता किए गए सिस्टम पर दृढ़ता बनाए रखने के लिए डिज़ाइन किया गया है, जिससे उनका पता लगाना और हटाना चुनौतीपूर्ण हो जाता है। वे सुरक्षा उपायों को दरकिनार करने के लिए विभिन्न चोरी तकनीकों का उपयोग कर सकते हैं, जिससे पारंपरिक एंटीवायरस समाधानों के लिए खतरे की पहचान करना और उसे कम करना मुश्किल हो जाता है।
- भू-राजनीतिक और कॉर्पोरेट जासूसी : राज्य प्रायोजित अभिनेता और कॉर्पोरेट जासूसी समूह संवेदनशील जानकारी, बौद्धिक संपदा, या वर्गीकृत डेटा तक पहुंच प्राप्त करने के लिए रणनीतिक उद्देश्यों के लिए आरएटी का उपयोग कर सकते हैं। इसके राष्ट्रीय सुरक्षा और प्रभावित संगठनों के लिए दूरगामी परिणाम हो सकते हैं।
RAT खतरों से जुड़े जोखिमों को कम करने के लिए, संगठनों और व्यक्तियों को फ़िशिंग हमलों को पहचानने और उनसे बचने के लिए नियमित सुरक्षा ऑडिट, नेटवर्क निगरानी, एंडपॉइंट सुरक्षा और उपयोगकर्ता जागरूकता प्रशिक्षण सहित मजबूत साइबर सुरक्षा उपायों को अपनाना चाहिए।
