Multi-License Discount Quote
Databáza hrozieb Remote Administration Tools AllaKore RAT

AllaKore RAT

Do roku Mezo v roku Remote Administration Tools, Advanced Persistent Threat (APT)
Preložiť do:
Slovenčina

Spear-phishingová kampaň sa zameriava na mexické finančné inštitúcie, pričom využíva upravený variant AllaKore RAT, open source trójskeho koňa pre vzdialený prístup. Kampaň je spojená s neidentifikovaným finančne motivovaným hroziacim aktérom so sídlom v Latinskej Amerike. Táto ohrozujúca aktivita prebieha minimálne od roku 2021. Taktika phishingu zahŕňa využívanie konvencií pomenovania spojených s Mexickým inštitútom sociálneho zabezpečenia (IMSS) a poskytovanie odkazov na zdanlivo legitímne dokumenty počas fázy inštalácie. Užitočné zaťaženie AllaKore RAT použité pri operácii útoku prešlo podstatnými úpravami, čo umožnilo aktérom hrozby prenášať ukradnuté bankové prihlasovacie údaje a jedinečné autentifikačné údaje na server Command-and-Control (C2), čo uľahčuje finančné podvody.

Kyberzločinci sa zameriavajú na veľké korporácie pomocou AllaKore RAT

Zdá sa, že útoky sa špecificky zameriavajú na veľké korporácie s ročnými príjmami presahujúcimi 100 miliónov dolárov. Cieľové subjekty pokrývajú rôzne sektory vrátane maloobchodu, poľnohospodárstva, verejného sektora, výroby, dopravy, komerčných služieb, kapitálových tovarov a bankovníctva.

Infekcia sa vyskytuje so súborom ZIP distribuovaným prostredníctvom phishingu alebo kompromisu typu drive-by. Tento súbor ZIP obsahuje inštalačný program MSI zodpovedný za nasadenie sťahovača .NET. Medzi hlavné úlohy sťahovača patrí potvrdenie mexickej geolokácie obete a získanie upraveného AllaKore RAT. AllaKore RAT, pôvodne identifikovaný v roku 2015 ako RAT založený na Delphi, sa môže zdať trochu základný, ale má silné funkcie, ako je zaznamenávanie kláves, snímanie obrazovky, nahrávanie / sťahovanie súborov a dokonca aj diaľkové ovládanie postihnutého systému.

AllaKore RAT bol vybavený ďalšími hroziacimi funkciami

Hrozba vylepšila malvér o nové funkcie primárne zamerané na bankové podvody, konkrétne zamerané na mexické banky a platformy na obchodovanie s kryptomenami. Medzi pridané funkcie patrí možnosť iniciovať príkazy na spustenie spätného shellu, extrahovanie obsahu schránky a načítanie, ako aj vykonávanie ďalších užitočných zaťažení.

Spojenie aktéra hrozby s Latinskou Amerikou je evidentné prostredníctvom využitia Mexico Starlink IP v kampani. Upravené užitočné zaťaženie RAT navyše obsahuje inštrukcie v španielskom jazyku. Návnady na phishing sú prispôsobené spoločnostiam významnej veľkosti, ktoré sú priamo podriadené oddeleniu Mexického inštitútu sociálneho zabezpečenia (IMSS).

Tento pretrvávajúci aktér hrozieb neustále smeruje svoje úsilie na mexické subjekty s úmyslom finančného vykorisťovania. Škodlivá aktivita trvala viac ako dva roky a nevykazovala žiadne známky zastavenia.

Hrozby RAT môžu viesť k vážnym následkom pre obete

Trójske kone so vzdialeným prístupom (RAT) predstavujú značné nebezpečenstvo, pretože poskytujú neoprávnený prístup a kontrolu nad počítačom alebo sieťou obete zlomyseľným aktérom. Tu sú niektoré kľúčové nebezpečenstvá spojené s hrozbami RAT:

  • Neoprávnený prístup a kontrola : RAT umožňujú útočníkom získať vzdialenú kontrolu nad napadnutým systémom. Táto úroveň prístupu im umožňuje vykonávať príkazy, manipulovať so súbormi, inštalovať a odinštalovať softvér a v podstate ovládať počítač obete, ako keby bola fyzicky prítomná.
  • Krádež údajov a špionáž : RAT sa bežne používajú na zhromažďovanie súkromných informácií, ako sú prihlasovacie údaje, finančné údaje, osobné informácie a duševné vlastníctvo. Útočníci môžu ticho monitorovať aktivity používateľov, zachytávať stlačenia klávesov a pristupovať k súborom, čo vedie k potenciálnemu narušeniu údajov a podnikovej špionáži.
  • Dohľad a narušenie súkromia : Po nasadení RAT môžu útočníci aktivovať webovú kameru a mikrofón obete bez jej vedomia, čo vedie k neoprávnenému sledovaniu. Toto porušenie súkromia môže mať významné dôsledky pre jednotlivcov a organizácie.
  • Propagácia a laterálny pohyb : RAT majú často schopnosť sa replikovať a šíriť v rámci siete, čo umožňuje útočníkom pohybovať sa laterálne cez infraštruktúru organizácie. To môže mať za následok kompromitáciu viacerých systémov a eskaláciu celkovej bezpečnostnej hrozby.
  • Finančné straty a podvody : RAT so schopnosťami pre bankové podvody sa môžu zamerať na finančné inštitúcie a používateľov, čo vedie k neoprávneným transakciám, krádeži finančných prostriedkov a iným finančným stratám. Platformy na obchodovanie s kryptomenami sú tiež zraniteľnými cieľmi pre útočníkov, ktorí hľadajú finančné zisky.
  • Prerušenie služieb : Útočníci môžu použiť RAT na prerušenie služieb úpravou alebo odstránením kritických súborov, zmenou konfigurácie systému alebo spustením útokov odmietnutia služby. To môže viesť k prestojom, finančným stratám a poškodeniu dobrého mena organizácie.
  • Perzistencia a obtiažnosť detekcie : RAT sú navrhnuté tak, aby udržiavali perzistenciu na kompromitovaných systémoch, čo sťažuje ich detekciu a odstránenie. Môžu používať rôzne únikové techniky na obídenie bezpečnostných opatrení, čo tradičným antivírusovým riešeniam sťažuje identifikáciu a zmiernenie hrozby.
  • Geopolitická a korporátna špionáž : Štátom sponzorovaní aktéri a korporátne špionážne skupiny môžu využívať RAT na strategické účely na získanie prístupu k citlivým informáciám, duševnému vlastníctvu alebo utajovaným údajom. To môže mať ďalekosiahle výsledky pre národnú bezpečnosť a postihnuté organizácie.

Na zmiernenie rizík spojených s hrozbami RAT by organizácie a jednotlivci mali používať robustné opatrenia v oblasti kybernetickej bezpečnosti vrátane pravidelných bezpečnostných auditov, monitorovania siete, ochrany koncových bodov a školenia informovanosti používateľov, aby rozpoznali phishingové útoky a vyhli sa im.

Trendy

Najviac videné

Načítava...