AllaKore RAT

Meksikas finanšu institūciju mērķauditorija ir pikšķerēšanas kampaņa, kurā tiek izmantots AllaKore RAT — atvērtā koda attālās piekļuves Trojas zirgs. Kampaņa ir saistīta ar neidentificētu finansiāli motivētu apdraudējuma dalībnieku, kas atrodas Latīņamerikā. Šī draudīgā darbība tiek turpināta vismaz kopš 2021. gada. Pikšķerēšanas taktika ietver nosaukumu piešķiršanu, kas saistīta ar Meksikas Sociālās drošības institūtu (IMSS), un saišu nodrošināšanu uz šķietami likumīgiem dokumentiem instalēšanas posmā. Uzbrukuma operācijā izmantotā AllaKore RAT lietderīgā slodze ir būtiski modificēta, ļaujot apdraudējuma dalībniekiem pārsūtīt viltotus bankas akreditācijas datus un unikālu autentifikācijas informāciju uz Command-and-Control (C2) serveri, veicinot finanšu krāpšanu.

Kibernoziedznieki vēršas pret lielām korporācijām ar AllaKore RAT

Šķiet, ka uzbrukumi ir īpaši vērsti uz lielām korporācijām, kuru gada ieņēmumi pārsniedz 100 miljonus ASV dolāru. Mērķa vienības aptver dažādas nozares, tostarp mazumtirdzniecību, lauksaimniecību, publisko sektoru, ražošanu, transportu, komercpakalpojumus, ražošanas līdzekļus un banku darbību.

Infekcija notiek ar ZIP failu, kas izplatīts pikšķerēšanas vai diska uzlaušanas ceļā. Šajā ZIP failā ir MSI instalēšanas programma, kas ir atbildīga par .NET lejupielādētāja izvietošanu. Lejupielādētāja primārie uzdevumi ir upura Meksikas ģeogrāfiskās atrašanās vietas apstiprināšana un modificētās AllaKore RAT iegūšana. AllaKore RAT, kas sākotnēji tika identificēts 2015. gadā kā Delphi balstīta RAT, var šķist nedaudz vienkārša, taču tai ir spēcīgas iespējas, piemēram, taustiņu reģistrēšana, ekrāna tveršana, failu augšupielāde/lejupielāde un pat ietekmētās sistēmas tālvadība.

AllaKore RAT ir aprīkots ar papildu apdraudošām funkcijām

Draudu dalībnieks ir uzlabojis ļaunprātīgo programmatūru ar jaunām funkcijām, kas galvenokārt vērstas uz krāpšanu banku jomā, īpaši mērķējot uz Meksikas bankām un kriptovalūtu tirdzniecības platformām. Pievienotās funkcijas ietver iespēju iniciēt komandas, lai palaistu reverso apvalku, izvilktu starpliktuves saturu un ienestu, kā arī izpildītu papildu lietderīgās slodzes.

Draudi aktiera saikne ar Latīņameriku ir acīmredzama, kampaņā izmantojot Meksikas Starlink IP. Turklāt modificētajā RAT kravnesībā ir iekļautas instrukcijas spāņu valodā. Jo īpaši pikšķerēšanas mānekļi ir pielāgoti ievērojama lieluma uzņēmumiem, kas tieši ziņo Meksikas Sociālās drošības institūta (IMSS) nodaļai.

Šis pastāvīgais apdraudējuma dalībnieks ir konsekventi virzījis savus centienus uz Meksikas vienībām ar nolūku finansiāli izmantot. Kaitīgā darbība ilgst vairāk nekā divus gadus, neliecinot par pārtraukšanas pazīmēm.

Žurku draudi var izraisīt smagas sekas upuriem

Attālās piekļuves Trojas zirgi (RAT) rada ievērojamas briesmas, jo tie ļaunprātīgiem dalībniekiem nodrošina nesankcionētu piekļuvi upura datoram vai tīklam un to kontroli. Šeit ir daži galvenie apdraudējumi, kas saistīti ar RAT draudiem:

• Neatļauta piekļuve un kontrole : RAT ļauj uzbrucējiem iegūt tālvadību pār apdraudētu sistēmu. Šis piekļuves līmenis ļauj viņiem izpildīt komandas, manipulēt ar failiem, instalēt un atinstalēt programmatūru un būtībā kontrolēt upura datoru tā, it kā viņš atrastos fiziski.
• Datu zādzība un spiegošana : RAT parasti izmanto, lai savāktu privātu informāciju, piemēram, pieteikšanās akreditācijas datus, finanšu datus, personisko informāciju un intelektuālo īpašumu. Uzbrucēji var klusi pārraudzīt lietotāju darbības, tvert taustiņu nospiešanu un piekļūt failiem, izraisot iespējamus datu pārkāpumus un korporatīvo spiegošanu.
• Uzraudzība un privātuma iebrukums : kad RAT ir izvietots, uzbrucēji bez viņu ziņas var aktivizēt upura tīmekļa kameru un mikrofonu, izraisot nesankcionētu uzraudzību. Šim privātuma pārkāpumam var būt nozīmīgas sekas personām un organizācijām.
• Izplatīšanās un sānu kustība : RAT bieži vien ir iespēja pašreplicēties un izplatīties tīklā, ļaujot uzbrucējiem pārvietoties uz sāniem pa organizācijas infrastruktūru. Tas var izraisīt vairāku sistēmu kompromitēšanu un vispārējo drošības apdraudējumu eskalāciju.
• Finansiālie zaudējumi un krāpšana : RAT, kas spēj veikt krāpšanu banku jomā, var vērsties pret finanšu iestādēm un lietotājiem, izraisot nesankcionētus darījumus, līdzekļu zādzību un citus finansiālus zaudējumus. Kripto tirdzniecības platformas ir arī neaizsargāti mērķi uzbrucējiem, kuri vēlas gūt finansiālu labumu.
• Pakalpojumu pārtraukšana : uzbrucēji var izmantot RAT, lai traucētu pakalpojumus, pārveidojot vai dzēšot kritiskos failus, mainot sistēmas konfigurācijas vai uzsākot pakalpojumu atteikuma uzbrukumus. Tas var novest pie dīkstāves, finansiāliem zaudējumiem un kaitējuma organizācijas reputācijai.
• Noturība un noteikšanas grūtības : RAT ir izstrādāti, lai saglabātu noturību apdraudētās sistēmās, padarot tās grūti atklāt un noņemt. Viņi var izmantot dažādas izvairīšanās metodes, lai apietu drošības pasākumus, apgrūtinot tradicionālajiem pretvīrusu risinājumiem draudu identificēšanu un mazināšanu.
• Ģeopolitiskā un korporatīvā spiegošana : valsts sponsorēti dalībnieki un korporatīvās spiegošanas grupas var izmantot RAT stratēģiskiem mērķiem, lai iegūtu piekļuvi sensitīvai informācijai, intelektuālajam īpašumam vai klasificētiem datiem. Tam var būt tālejoši rezultāti valsts drošībai un ietekmētajām organizācijām.

Lai mazinātu riskus, kas saistīti ar RAT draudiem, organizācijām un personām ir jāizmanto stingri kiberdrošības pasākumi, tostarp regulāri drošības auditi, tīkla uzraudzība, galapunktu aizsardzība un lietotāju izpratnes apmācība, lai atpazītu pikšķerēšanas uzbrukumus un izvairītos no tiem.