TIKUS AllaKore

Kempen pancingan lembing menyasarkan institusi kewangan Mexico, menggunakan varian AllaKore RAT yang diubah suai, Trojan Akses Jauh sumber terbuka. Kempen ini dikaitkan dengan pelakon ancaman bermotivasi kewangan yang tidak dikenali yang berpangkalan di Amerika Latin. Aktiviti mengancam ini telah berterusan sejak sekurang-kurangnya 2021. Taktik pancingan data melibatkan penggunaan konvensyen penamaan yang dikaitkan dengan Institut Keselamatan Sosial Mexico (IMSS) dan menyediakan pautan kepada dokumen yang kelihatan sah semasa fasa pemasangan. Muatan RAT AllaKore yang digunakan dalam operasi serangan telah mengalami pengubahsuaian yang besar, membolehkan pelaku ancaman menghantar bukti kelayakan perbankan yang dicuri dan butiran pengesahan unik ke pelayan Perintah-dan-Kawalan (C2), memudahkan penipuan kewangan.

Penjenayah Siber Menyasarkan Syarikat Besar dengan RAT AllaKore

Serangan itu nampaknya tertumpu secara khusus kepada syarikat besar dengan pendapatan tahunan melebihi $100 juta. Entiti yang disasarkan merangkumi pelbagai sektor, termasuk peruncitan, pertanian, sektor awam, pembuatan, pengangkutan, perkhidmatan komersial, barangan modal dan perbankan.

Jangkitan berlaku dengan fail ZIP yang diedarkan melalui pancingan data atau kompromi drive-by. Fail ZIP ini mengandungi pemasang MSI yang bertanggungjawab untuk menggunakan pemuat turun .NET. Tugas utama pemuat turun termasuk mengesahkan geolokasi Mexico mangsa dan mengambil AllaKore RAT yang diubah suai. RAT AllaKore, yang pada mulanya dikenal pasti pada tahun 2015 sebagai RAT berasaskan Delphi, mungkin kelihatan agak asas tetapi mempunyai keupayaan kuat seperti pengelogan kunci, tangkapan skrin, muat naik/muat turun fail, dan juga kawalan jauh sistem yang terjejas.

RAT AllaKore Telah Dilengkapi dengan Ciri-ciri Mengancam Tambahan

Aktor ancaman telah meningkatkan perisian hasad dengan fungsi baharu yang tertumpu terutamanya pada penipuan perbankan, khususnya menyasarkan bank Mexico dan platform dagangan crypto. Ciri tambahan termasuk keupayaan untuk memulakan arahan untuk melancarkan cangkerang terbalik, mengekstrak kandungan papan keratan dan mengambil, serta melaksanakan muatan tambahan.

Hubungan aktor ancaman itu dengan Amerika Latin terbukti melalui penggunaan Mexico Starlink IP dalam kempen tersebut. Selain itu, muatan RAT yang diubah suai termasuk arahan bahasa Sepanyol. Terutamanya, gewang pancingan data disesuaikan dengan syarikat bersaiz besar yang melaporkan terus kepada jabatan Institut Keselamatan Sosial Mexico (IMSS).

Aktor ancaman yang berterusan ini telah secara konsisten mengarahkan usahanya ke arah entiti Mexico dengan niat untuk mengeksploitasi kewangan. Aktiviti berbahaya itu telah bertahan selama lebih daripada dua tahun, tidak menunjukkan tanda-tanda pemberhentian.

Ancaman TIKUS boleh membawa kepada akibat yang teruk untuk mangsa

Trojan Akses Jauh (RAT) menimbulkan bahaya yang ketara kerana ia menyediakan akses dan kawalan tanpa kebenaran ke atas komputer atau rangkaian mangsa kepada pelakon yang berniat jahat. Berikut ialah beberapa bahaya utama yang dikaitkan dengan ancaman RAT:

• Akses dan Kawalan Tanpa Kebenaran : RAT membenarkan penyerang mendapatkan kawalan jauh sistem yang terjejas. Tahap capaian ini membolehkan mereka melaksanakan arahan, memanipulasi fail, memasang dan menyahpasang perisian, dan pada asasnya mengawal komputer mangsa seolah-olah mereka hadir secara fizikal.
• Kecurian Data dan Pengintipan : RAT biasanya digunakan untuk mengumpul maklumat peribadi, seperti bukti kelayakan log masuk, data kewangan, maklumat peribadi dan harta intelek. Penyerang boleh memantau aktiviti pengguna secara senyap, menangkap ketukan kekunci dan mengakses fail, yang membawa kepada potensi pelanggaran data dan pengintipan korporat.
• Pengawasan dan Pencerobohan Privasi : Setelah RAT digunakan, penyerang boleh mengaktifkan kamera web dan mikrofon mangsa tanpa pengetahuan mereka, yang membawa kepada pengawasan tanpa kebenaran. Pelanggaran privasi ini boleh membawa akibat yang bermakna kepada individu dan organisasi.
• Penyebaran dan Pergerakan Lateral : RAT selalunya mempunyai keupayaan untuk mereplikasi diri dan merebak dalam rangkaian, membolehkan penyerang bergerak ke sisi melalui infrastruktur organisasi. Ini boleh mengakibatkan kompromi berbilang sistem dan peningkatan ancaman keselamatan keseluruhan.
• Kerugian Kewangan dan Penipuan : RAT yang mempunyai keupayaan untuk penipuan perbankan boleh menyasarkan institusi kewangan dan pengguna, yang membawa kepada transaksi tanpa kebenaran, kecurian dana dan kerugian kewangan lain. Platform dagangan kripto juga merupakan sasaran yang terdedah untuk penyerang yang mencari keuntungan kewangan.
• Gangguan Perkhidmatan : Penyerang boleh menggunakan RAT untuk mengganggu perkhidmatan dengan mengubah suai atau memadam fail kritikal, mengubah konfigurasi sistem atau melancarkan serangan penafian perkhidmatan. Ini boleh menyebabkan masa henti, kerugian kewangan dan kerosakan pada reputasi organisasi.
• Kegigihan dan Kesukaran Pengesanan : RAT direka bentuk untuk mengekalkan kegigihan pada sistem yang terjejas, menjadikannya mencabar untuk dikesan dan dialih keluar. Mereka mungkin menggunakan pelbagai teknik pengelakan untuk memintas langkah keselamatan, menyukarkan penyelesaian antivirus tradisional untuk mengenal pasti dan mengurangkan ancaman.
• Pengintipan Geopolitik dan Korporat : Pelakon tajaan kerajaan dan kumpulan pengintipan korporat boleh menggunakan RAT untuk tujuan strategik untuk mendapatkan akses kepada maklumat sensitif, harta intelek atau data terperingkat. Ini boleh membawa hasil yang luas untuk keselamatan negara dan organisasi yang terjejas.

Untuk mengurangkan risiko yang berkaitan dengan ancaman RAT, organisasi dan individu harus menggunakan langkah keselamatan siber yang teguh, termasuk audit keselamatan tetap, pemantauan rangkaian, perlindungan titik akhir dan latihan kesedaran pengguna untuk mengenali dan mengelakkan serangan pancingan data.