AllaKore RAT

Egy lándzsás adathalász kampány a mexikói pénzintézeteket célozza meg, az AllaKore RAT, egy nyílt forráskódú távelérési trójai módosított változatát alkalmazva. A kampány egy azonosítatlan, latin-amerikai székhelyű, pénzügyileg motivált fenyegetés szereplőhöz kapcsolódik. Ez a fenyegető tevékenység legalább 2021 óta tart. Az adathalász taktika magában foglalja a Mexican Social Security Institute-hoz (IMSS) kapcsolódó elnevezési szabályokat és a látszólag jogos dokumentumokhoz mutató hivatkozásokat a telepítési szakaszban. A támadási művelet során használt AllaKore RAT rakomány jelentős módosításokon ment keresztül, lehetővé téve a fenyegetés szereplői számára, hogy ellopott banki hitelesítési adatokat és egyedi hitelesítési adatokat továbbítsanak egy Command-and-Control (C2) szerverre, ami megkönnyíti a pénzügyi csalást.

A kiberbűnözők nagyvállalatokat céloznak meg az AllaKore RAT-tal

Úgy tűnik, hogy a támadások kifejezetten a 100 millió dollárt meghaladó éves bevételű nagyvállalatokra irányulnak. A megcélzott entitások különböző ágazatokat ölelnek fel, beleértve a kiskereskedelmet, a mezőgazdaságot, a közszférát, a gyártást, a szállítást, a kereskedelmi szolgáltatásokat, a beruházási javakat és a bankszektort.

A fertőzés adathalászattal vagy meghajtókon keresztül terjesztett ZIP-fájllal történik. Ez a ZIP-fájl egy MSI-telepítőt tartalmaz, amely egy .NET letöltő telepítéséért felelős. A letöltő elsődleges feladatai közé tartozik az áldozat mexikói földrajzi helyének megerősítése és a módosított AllaKore RAT lekérése. Az AllaKore RAT, amelyet eredetileg 2015-ben Delphi-alapú RAT-ként azonosítottak, kissé alapvetőnek tűnhet, de olyan hatékony képességekkel rendelkezik, mint a billentyűnaplózás, a képernyőrögzítés, a fájlok feltöltése/letöltése, és még az érintett rendszer távvezérlése is.

Az AllaKore RAT-ot további fenyegető funkciókkal látták el

A fenyegetettség szereplője a kártevőt új funkciókkal bővítette, amelyek elsősorban a banki csalásokra összpontosítanak, kifejezetten a mexikói bankokat és kriptokereskedési platformokat célozva meg. A hozzáadott funkciók közé tartozik a parancsok indításának képessége a fordított shell indításához, a vágólap tartalmának kibontásához és letöltéséhez, valamint további hasznos terhelések végrehajtásához.

A fenyegetést jelentő szereplő kapcsolata Latin-Amerikával nyilvánvaló a mexikói Starlink IP-k kampányban való felhasználásán keresztül. Ezenkívül a módosított RAT rakomány spanyol nyelvű utasításokat tartalmaz. Nevezetesen, az adathalász csalikat olyan jelentős méretű vállalatokra szabták, amelyek közvetlenül a Mexican Social Security Institute (IMSS) osztályának tartoznak.

Ez a tartósan fenyegető szereplő pénzügyi kizsákmányolás szándékával következetesen a mexikói entitások felé irányítja erőfeszítéseit. A káros tevékenység több mint két éve tart, a megszűnés jelei nem mutatkoztak.

A patkányok fenyegetései súlyos következményekkel járhatnak az áldozatok számára

A távelérési trójaiak (RAT) jelentős veszélyeket jelentenek, mivel jogosulatlan hozzáférést és irányítást biztosítanak az áldozat számítógépéhez vagy hálózatához a rosszindulatú szereplők számára. Íme néhány, a RAT-fenyegetésekkel kapcsolatos legfontosabb veszély:

• Jogosulatlan hozzáférés és ellenőrzés : A RAT-ok lehetővé teszik a támadók számára, hogy távolról irányítsák a feltört rendszert. Ez a hozzáférési szint lehetővé teszi számukra, hogy parancsokat hajtsanak végre, fájlokat kezeljenek, szoftvereket telepítsenek és eltávolítsanak, és lényegében úgy irányítsák az áldozat számítógépét, mintha fizikailag jelen lennének.
• Adatlopás és kémkedés : A RAT-okat általában személyes adatok, például bejelentkezési adatok, pénzügyi adatok, személyes adatok és szellemi tulajdon gyűjtésére használják. A támadók csendben figyelhetik a felhasználói tevékenységeket, rögzíthetik a billentyűleütéseket és hozzáférhetnek a fájlokhoz, ami potenciális adatszivárgáshoz és vállalati kémkedéshez vezethet.
• Felügyelet és adatvédelmi invázió : A RAT telepítése után a támadók a tudta nélkül aktiválhatják az áldozat webkameráját és mikrofonját, ami jogosulatlan megfigyeléshez vezet. A magánélet ilyen jellegű megsértése jelentős következményekkel járhat egyénekre és szervezetekre nézve.
• Terjedés és oldalirányú mozgás : A RAT-ok gyakran képesek önreplikációra és hálózaton belüli terjedésre, lehetővé téve a támadók számára, hogy oldalirányban mozogjanak a szervezet infrastruktúráján keresztül. Ez több rendszer kompromittálásához és az általános biztonsági fenyegetés fokozódásához vezethet.
• Pénzügyi veszteség és csalás : A banki csalásra képes RAT-ok pénzintézeteket és felhasználókat célozhatnak meg, ami jogosulatlan tranzakciókhoz, pénzeszközök ellopásához és egyéb pénzügyi veszteségekhez vezethet. A kriptográfiai kereskedési platformok szintén sebezhető célpontok a pénzügyi haszonra törekvő támadók számára.
• A szolgáltatások megszakítása : A támadók RAT-okat használhatnak a szolgáltatások megzavarására kritikus fájlok módosításával vagy törlésével, rendszerkonfiguráció módosításával vagy szolgáltatásmegtagadási támadások indításával. Ez leálláshoz, pénzügyi veszteségekhez és a szervezet hírnevének károsodásához vezethet.
• Perzisztencia és az észlelés nehézsége : A RAT-okat úgy tervezték, hogy fenntartsák a perzisztenciát a feltört rendszereken, így nehéz felismerni és eltávolítani őket. Különféle kijátszási technikákat alkalmazhatnak a biztonsági intézkedések megkerülésére, ami megnehezíti a hagyományos víruskereső megoldások számára a fenyegetés azonosítását és mérséklését.
• Geopolitikai és vállalati kémkedés : Az államilag támogatott szereplők és vállalati kémcsoportok stratégiai célokra használhatják a RAT-okat, hogy hozzáférjenek érzékeny információkhoz, szellemi tulajdonhoz vagy minősített adatokhoz. Ennek messzemenő következményei lehetnek a nemzetbiztonság és az érintett szervezetek számára.

A RAT-fenyegetésekkel kapcsolatos kockázatok mérséklése érdekében a szervezeteknek és az egyéneknek robusztus kiberbiztonsági intézkedéseket kell alkalmazniuk, beleértve a rendszeres biztonsági auditokat, a hálózatfigyelést, a végpontvédelmet és a felhasználói tudatosság növelését célzó képzést az adathalász támadások felismerése és elkerülése érdekében.