Multi-License Discount Quote
Hotdatabas Remote Administration Tools AllaKore RAT

AllaKore RAT

Med Mezo år Remote Administration Tools, Advanced Persistent Threat (APT)
Översätt till:
Svenska

En spjutfiskekampanj riktar sig till mexikanska finansinstitutioner och använder en modifierad variant av AllaKore RAT, en trojan för fjärråtkomst med öppen källkod. Kampanjen är kopplad till en oidentifierad ekonomiskt motiverad hotaktör baserad i Latinamerika. Denna hotfulla aktivitet har pågått sedan åtminstone 2021. Nätfisketaktiken innebär att man använder namnkonventioner associerade med Mexican Social Security Institute (IMSS) och tillhandahåller länkar till till synes legitima dokument under installationsfasen. AllaKore RAT-nyttolasten som används i attackoperationen har genomgått betydande modifieringar, vilket gör det möjligt för hotaktörer att överföra snattade bankuppgifter och unika autentiseringsdetaljer till en Command-and-Control-server (C2), vilket underlättar ekonomiskt bedrägeri.

Cyberkriminella riktar in sig på stora företag med AllaKore RAT

Attackerna verkar specifikt fokusera på stora företag med årliga intäkter som överstiger 100 miljoner dollar. De riktade enheterna spänner över olika sektorer, inklusive detaljhandel, jordbruk, offentlig sektor, tillverkning, transport, kommersiella tjänster, kapitalvaror och bank.

Infektionen sker med en ZIP-fil som distribueras genom nätfiske eller en drive-by-kompromiss. Denna ZIP-fil innehåller ett MSI-installationsprogram som ansvarar för att distribuera en .NET-nedladdare. Nedladdarens primära uppgifter inkluderar att bekräfta offrets mexikanska geolokalisering och hämta den modifierade AllaKore RAT. AllaKore RAT, som ursprungligen identifierades 2015 som en Delphi-baserad RAT, kan verka något grundläggande men har potenta funktioner som tangentloggning, skärmdumpning, filuppladdning/nedladdning och till och med fjärrkontroll av det berörda systemet.

AllaKore RAT har utrustats med ytterligare hotfulla funktioner

Hotaktören har förbättrat skadlig programvara med nya funktioner som främst är inriktade på bankbedrägerier, speciellt inriktade på mexikanska banker och kryptohandelsplattformar. De tillagda funktionerna inkluderar möjligheten att initiera kommandon för att starta ett omvänt skal, extrahera urklippsinnehåll och hämta, samt exekvera ytterligare nyttolaster.

Hotaktörens koppling till Latinamerika är uppenbar genom användningen av Mexico Starlink IP:er i kampanjen. Dessutom innehåller den modifierade RAT-nyttolasten spanska instruktioner. Noterbart är att nätfiskebetena är skräddarsydda för företag av betydande storlek som direkt rapporterar till avdelningen för mexikanska socialförsäkringsinstitutet (IMSS).

Denna ihållande hotaktör har konsekvent riktat sina ansträngningar mot mexikanska enheter med avsikten att exploatera ekonomiskt. Den skadliga aktiviteten har pågått i mer än två år, utan att visa några tecken på upphörande.

RAT-hot kan leda till allvarliga konsekvenser för offer

Fjärråtkomsttrojaner (RAT) utgör betydande faror eftersom de ger otillåten åtkomst och kontroll över ett offers dator eller nätverk till illvilliga aktörer. Här är några viktiga faror förknippade med RAT-hot:

  • Obehörig åtkomst och kontroll : RAT:er tillåter angripare att få fjärrkontroll över ett äventyrat system. Denna åtkomstnivå gör det möjligt för dem att utföra kommandon, manipulera filer, installera och avinstallera programvara och i huvudsak kontrollera offrets dator som om de var fysiskt närvarande.
  • Datastöld och spionage : RAT:er används ofta för att samla in privat information, såsom inloggningsuppgifter, ekonomisk data, personlig information och immateriella rättigheter. Angripare kan tyst övervaka användaraktiviteter, fånga tangenttryckningar och komma åt filer, vilket leder till potentiella dataintrång och företagsspionage.
  • Övervakning och integritetsinvasion : När en RAT väl har utplacerats kan angripare aktivera offrets webbkamera och mikrofon utan deras vetskap, vilket leder till obehörig övervakning. Denna integritetsintrång kan få betydelsefulla konsekvenser för individer och organisationer.
  • Utbredning och lateral rörelse : RAT:er har ofta förmågan att självreplikera och sprida sig inom ett nätverk, vilket gör att angripare kan röra sig i sidled genom en organisations infrastruktur. Detta kan resultera i att flera system kompromissar och att det övergripande säkerhetshotet eskalerar.
  • Finansiell förlust och bedrägeri : RAT:er med kapacitet för bankbedrägerier kan rikta sig mot finansiella institutioner och användare, vilket leder till obehöriga transaktioner, fondstölder och andra ekonomiska förluster. Kryptohandelsplattformar är också sårbara mål för angripare som söker ekonomiska vinster.
  • Avbrott i tjänster : Angripare kan använda RAT:er för att störa tjänster genom att modifiera eller ta bort viktiga filer, ändra systemkonfigurationer eller starta överbelastningsattacker. Detta kan leda till driftstopp, ekonomiska förluster och skada på en organisations rykte.
  • Persistens och svårighet att upptäcka : RAT:er är utformade för att bibehålla uthållighet på komprometterade system, vilket gör dem utmanande att upptäcka och ta bort. De kan använda olika undandragningstekniker för att kringgå säkerhetsåtgärder, vilket gör det svårt för traditionella antiviruslösningar att identifiera och mildra hotet.
  • Geopolitiskt och företagsspionage : Statssponsrade aktörer och företagsspionagegrupper kan använda RAT:er för strategiska syften för att få tillgång till känslig information, immateriella rättigheter eller sekretessbelagda data. Detta kan få långtgående resultat för den nationella säkerheten och de berörda organisationerna.

För att minska riskerna som är förknippade med RAT-hot bör organisationer och individer använda robusta cybersäkerhetsåtgärder, inklusive regelbundna säkerhetsrevisioner, nätverksövervakning, endpoint-skydd och utbildning i användarmedvetenhet för att känna igen och undvika nätfiskeattacker.

Trendigt

Mest sedda

Läser in...