Multi-License Discount Quote
Podjetje o grožnjah Remote Administration Tools AllaKore RAT

AllaKore RAT

Do leta Mezo leta Remote Administration Tools, Advanced Persistent Threat (APT)
Prevedi v:
Slovenščina

Kampanja lažnega predstavljanja cilja na mehiške finančne institucije, pri čemer uporablja spremenjeno različico AllaKore RAT, odprtokodnega trojanca za oddaljeni dostop. Kampanja je povezana z neidentificiranim finančno motiviranim akterjem grožnje s sedežem v Latinski Ameriki. Ta grozeča dejavnost poteka vsaj od leta 2021. Taktika lažnega predstavljanja vključuje uporabo konvencij o poimenovanju, povezanih z mehiškim inštitutom za socialno varnost (IMSS), in zagotavljanje povezav do navidezno legitimnih dokumentov med fazo namestitve. Tovor AllaKore RAT, uporabljen v operaciji napada, je bil precej spremenjen, kar akterjem groženj omogoča prenos ukradenih bančnih poverilnic in edinstvenih podrobnosti za preverjanje pristnosti na strežnik Command-and-Control (C2), kar olajša finančne goljufije.

Kibernetski kriminalci ciljajo na velike korporacije z AllaKore RAT

Zdi se, da se napadi posebej osredotočajo na velike korporacije z letnimi prihodki, ki presegajo 100 milijonov dolarjev. Ciljni subjekti zajemajo različne sektorje, vključno z maloprodajo, kmetijstvom, javnim sektorjem, proizvodnjo, transportom, komercialnimi storitvami, investicijskim blagom in bančništvom.

Do okužbe pride z datoteko ZIP, ki se distribuira z lažnim predstavljanjem ali kompromisom z diskovnim dostopom. Ta datoteka ZIP vsebuje namestitveni program MSI, ki je odgovoren za namestitev prenosnika .NET. Primarne naloge prenosnika vključujejo potrditev mehiške geolokacije žrtve in pridobivanje spremenjenega AllaKore RAT. AllaKore RAT, ki je bil leta 2015 prvotno opredeljen kot RAT, ki temelji na Delphiju, se morda zdi nekoliko preprost, vendar ima močne zmožnosti, kot so beleženje tipk, zajem zaslona, nalaganje/prenos datotek in celo daljinski nadzor prizadetega sistema.

AllaKore RAT je bil opremljen z dodatnimi nevarnimi funkcijami

Povzročitelj grožnje je izboljšal zlonamerno programsko opremo z novimi funkcionalnostmi, osredotočenimi predvsem na bančne goljufije, ki ciljajo posebej na mehiške banke in platforme za kripto trgovanje. Dodane funkcije vključujejo zmožnost sprožitve ukazov za zagon povratne lupine, ekstrahiranje vsebine odložišča in pridobivanje ter izvajanje dodatnih koristnih obremenitev.

Povezava akterja grožnje z Latinsko Ameriko je očitna prek uporabe IP-jev Mehike Starlink v kampanji. Poleg tega spremenjeni tovor RAT vključuje navodila v španskem jeziku. Predvsem so vabe za lažno predstavljanje prilagojene velikim podjetjem, ki neposredno poročajo oddelku Mehiškega inštituta za socialno varnost (IMSS).

Ta vztrajni akter grožnje dosledno usmerja svoja prizadevanja proti mehiškim subjektom z namenom finančnega izkoriščanja. Škodljiva dejavnost je trajala več kot dve leti in ni kazala nobenih znakov prenehanja.

Grožnje s podganami lahko povzročijo resne posledice za žrtve

Trojanci z oddaljenim dostopom (RAT) predstavljajo veliko nevarnost, saj zlonamernim akterjem omogočajo nepooblaščen dostop in nadzor nad računalnikom ali omrežjem žrtve. Tukaj je nekaj ključnih nevarnosti, povezanih z grožnjami RAT:

  • Nepooblaščen dostop in nadzor : RATs napadalcem omogočajo pridobitev daljinskega nadzora nad ogroženim sistemom. Ta raven dostopa jim omogoča izvajanje ukazov, manipuliranje z datotekami, nameščanje in odstranjevanje programske opreme ter v bistvu nadzor žrtvinega računalnika, kot da bi bili fizično prisotni.
  • Kraja podatkov in vohunjenje : RAT se običajno uporabljajo za zbiranje zasebnih podatkov, kot so poverilnice za prijavo, finančni podatki, osebni podatki in intelektualna lastnina. Napadalci lahko tiho spremljajo dejavnosti uporabnikov, zajemajo pritiske tipk in dostopajo do datotek, kar vodi do morebitnih kršitev podatkov in korporativnega vohunjenja.
  • Nadzor in vdor v zasebnost : Ko je RAT nameščen, lahko napadalci brez njihove vednosti aktivirajo žrtvino spletno kamero in mikrofon, kar vodi do nepooblaščenega nadzora. Ta kršitev zasebnosti ima lahko pomembne posledice za posameznike in organizacije.
  • Razmnoževanje in bočno gibanje : RAT se pogosto lahko samopodvojijo in razširijo znotraj omrežja, kar napadalcem omogoča bočno premikanje skozi infrastrukturo organizacije. To lahko povzroči ogrožanje več sistemov in stopnjevanje splošne varnostne grožnje.
  • Finančne izgube in goljufije : RATs z zmogljivostmi za bančne goljufije lahko ciljajo na finančne institucije in uporabnike, kar vodi do nepooblaščenih transakcij, kraje sredstev in drugih finančnih izgub. Platforme za kripto trgovanje so tudi ranljive tarče za napadalce, ki iščejo finančne dobičke.
  • Motnje storitev : Napadalci lahko uporabijo RAT za motnje storitev s spreminjanjem ali brisanjem kritičnih datotek, spreminjanjem sistemskih konfiguracij ali zagonom napadov zavrnitve storitve. To lahko povzroči izpade, finančne izgube in škodo ugledu organizacije.
  • Vztrajnost in težava pri odkrivanju : RATs so zasnovani tako, da ohranjajo obstojnost v ogroženih sistemih, zaradi česar jih je težko odkriti in odstraniti. Lahko uporabijo različne tehnike izogibanja, da zaobidejo varnostne ukrepe, kar tradicionalnim protivirusnim rešitvam oteži prepoznavanje in ublažitev grožnje.
  • Geopolitično in korporativno vohunjenje : akterji, ki jih sponzorira država, in korporativne vohunske skupine lahko uporabljajo RAT za strateške namene za pridobitev dostopa do občutljivih informacij, intelektualne lastnine ali zaupnih podatkov. To ima lahko daljnosežne posledice za nacionalno varnost in prizadete organizacije.

Da bi ublažili tveganja, povezana z grožnjami RAT, bi morale organizacije in posamezniki uporabiti robustne ukrepe kibernetske varnosti, vključno z rednimi varnostnimi pregledi, nadzorom omrežja, zaščito končne točke in usposabljanjem za ozaveščanje uporabnikov, da prepoznajo napade z lažnim predstavljanjem in se jim izognejo.

V trendu

Najbolj gledan

Nalaganje...