알라코레 RAT

스피어 피싱 캠페인은 오픈 소스 원격 액세스 트로이 목마인 AllaKore RAT의 수정된 변종을 사용하여 멕시코 금융 기관을 표적으로 삼고 있습니다. 이 캠페인은 라틴 아메리카에 기반을 둔 신원이 밝혀지지 않은 재정적 동기를 지닌 위협 행위자와 연결되어 있습니다. 이 위협적인 활동은 적어도 2021년부터 계속되었습니다. 피싱 전술에는 멕시코 사회 보장 연구소(IMSS)와 관련된 명명 규칙을 활용하고 설치 단계에서 합법적인 것처럼 보이는 문서에 대한 링크를 제공하는 것이 포함됩니다. 공격 작전에 사용된 AllaKore RAT 페이로드는 상당한 수정을 거쳐 위협 행위자가 훔친 은행 자격 증명과 고유한 인증 세부 정보를 명령 및 제어(C2) 서버로 전송하여 금융 사기를 용이하게 할 수 있게 되었습니다.

사이버범죄자들은 AllaKore RAT를 이용해 대기업을 표적으로 삼습니다.

공격은 특히 연간 수익이 1억 달러를 초과하는 대기업에 초점을 맞춘 것으로 보입니다. 대상 기업은 소매, 농업, 공공 부문, 제조, 운송, 상업 서비스, 자본재 및 은행을 포함한 다양한 부문에 걸쳐 있습니다.

피싱이나 드라이브바이 해킹을 통해 배포된 ZIP 파일을 통해 감염이 발생합니다. 이 ZIP 파일에는 .NET 다운로더 배포를 담당하는 MSI 설치 프로그램이 포함되어 있습니다. 다운로더의 주요 작업에는 피해자의 멕시코 지리적 위치를 확인하고 수정된 AllaKore RAT를 가져오는 것이 포함됩니다. 2015년에 처음 Delphi 기반 RAT로 식별된 AllaKore RAT는 다소 기본적으로 보일 수 있지만 키로깅, 화면 캡처, 파일 업로드/다운로드 및 영향을 받는 시스템의 원격 제어와 같은 강력한 기능을 보유하고 있습니다.

AllaKore RAT에는 추가 위협 기능이 탑재되었습니다.

위협 행위자는 주로 은행 사기, 특히 멕시코 은행과 암호화폐 거래 플랫폼을 표적으로 삼는 새로운 기능으로 악성코드를 강화했습니다. 추가된 기능에는 리버스 셸 실행, 클립보드 콘텐츠 추출, 가져오기, 추가 페이로드 실행을 위한 명령을 시작하는 기능이 포함됩니다.

위협 행위자가 라틴 아메리카와 연결되어 있다는 것은 캠페인에서 멕시코 Starlink IP를 활용한 것을 통해 분명하게 드러납니다. 또한 수정된 RAT 페이로드에는 스페인어 지침이 포함되어 있습니다. 특히 피싱 미끼는 멕시코 사회보장연구소(IMSS) 부서에 직접 보고하는 상당한 규모의 기업에 맞춰져 있습니다.

이 지속적인 위협 행위자는 재정적 착취를 목적으로 멕시코 기업을 대상으로 지속적으로 노력해 왔습니다. 유해한 활동은 2년 넘게 지속되었으며 중단될 기미가 보이지 않습니다.

RAT 위협은 피해자에게 심각한 결과를 초래할 수 있습니다

RAT(원격 액세스 트로이 목마)는 악의적인 행위자에게 피해자의 컴퓨터나 네트워크에 대한 무단 액세스 및 제어권을 제공하므로 심각한 위험을 초래합니다. RAT 위협과 관련된 몇 가지 주요 위험은 다음과 같습니다.

• 무단 액세스 및 제어 : RAT를 사용하면 공격자가 손상된 시스템을 원격으로 제어할 수 있습니다. 이 수준의 액세스를 통해 그들은 명령을 실행하고, 파일을 조작하고, 소프트웨어를 설치 및 제거하고, 마치 물리적으로 존재하는 것처럼 피해자의 컴퓨터를 제어할 수 있습니다.
• 데이터 도난 및 간첩 : RAT는 일반적으로 로그인 자격 증명, 금융 데이터, 개인 정보 및 지적 재산과 같은 개인 정보를 수집하는 데 사용됩니다. 공격자는 사용자 활동을 자동으로 모니터링하고, 키 입력을 캡처하고, 파일에 액세스할 수 있으므로 잠재적인 데이터 침해 및 기업 스파이 활동으로 이어질 수 있습니다.
• 감시 및 개인 정보 침해 : RAT가 배포되면 공격자는 자신도 모르게 피해자의 웹캠과 마이크를 활성화하여 무단 감시로 이어질 수 있습니다. 이러한 개인정보 침해는 개인과 조직에 의미 있는 결과를 초래할 수 있습니다.
• 전파 및 측면 이동 : RAT는 종종 네트워크 내에서 자체 복제 및 확산 기능을 갖고 있어 공격자가 조직의 인프라를 통해 측면으로 이동할 수 있습니다. 이로 인해 여러 시스템이 손상되고 전반적인 보안 위협이 확대될 수 있습니다.
• 재정적 손실 및 사기 : 은행 사기 기능을 갖춘 RAT는 금융 기관 및 사용자를 표적으로 삼아 무단 거래, 자금 절도 및 기타 재정적 손실을 초래할 수 있습니다. 암호화폐 거래 플랫폼은 금전적 이익을 추구하는 공격자에게도 취약한 표적입니다.
• 서비스 중단 : 공격자는 RAT를 사용하여 중요한 파일을 수정 또는 삭제하거나, 시스템 구성을 변경하거나, 서비스 거부 공격을 시작하여 서비스를 중단시킬 수 있습니다. 이는 가동 중지 시간, 재정적 손실, 조직의 평판 손상으로 이어질 수 있습니다.
• 지속성 및 탐지 어려움 : RAT는 손상된 시스템에서 지속성을 유지하도록 설계되어 탐지 및 제거가 어렵습니다. 보안 조치를 우회하기 위해 다양한 회피 기술을 사용할 수 있으므로 기존 바이러스 백신 솔루션으로는 위협을 식별하고 완화하기가 어렵습니다.
• 지정학적 및 기업 스파이 활동 : 국가가 후원하는 행위자와 기업 스파이 그룹은 민감한 정보, 지적 재산 또는 기밀 데이터에 접근하기 위한 전략적 목적으로 RAT를 사용할 수 있습니다. 이는 국가 안보와 영향을 받는 조직에 광범위한 결과를 가져올 수 있습니다.

RAT 위협과 관련된 위험을 완화하려면 조직과 개인은 정기적인 보안 감사, 네트워크 모니터링, 엔드포인트 보호, 피싱 공격을 인식하고 방지하기 위한 사용자 인식 교육 등 강력한 사이버 보안 조치를 취해야 합니다.