อัลลาโคเร หนู

แคมเปญฟิชชิ่งแบบหอกมุ่งเป้าไปที่สถาบันการเงินในเม็กซิโก โดยใช้รูปแบบที่ได้รับการดัดแปลงของ AllaKore RAT ซึ่งเป็นโทรจันการเข้าถึงระยะไกลแบบโอเพ่นซอร์ส แคมเปญนี้เชื่อมโยงกับผู้คุกคามทางการเงินที่ไม่ปรากฏชื่อซึ่งมีฐานอยู่ในละตินอเมริกา กิจกรรมคุกคามนี้ดำเนินมาอย่างน้อยตั้งแต่ปี 2021 กลยุทธ์ฟิชชิ่งเกี่ยวข้องกับการใช้รูปแบบการตั้งชื่อที่เกี่ยวข้องกับสถาบันประกันสังคมแห่งเม็กซิโก (IMSS) และให้ลิงก์ไปยังเอกสารที่ดูเหมือนถูกต้องตามกฎหมายในระหว่างขั้นตอนการติดตั้ง เพย์โหลด AllaKore RAT ที่ใช้ในการปฏิบัติการโจมตีได้รับการปรับเปลี่ยนอย่างมาก ทำให้ผู้คุกคามสามารถส่งข้อมูลประจำตัวของธนาคารที่ถูกขโมยและรายละเอียดการรับรองความถูกต้องเฉพาะไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ซึ่งอำนวยความสะดวกในการฉ้อโกงทางการเงิน

อาชญากรไซเบอร์มุ่งเป้าไปที่บริษัทขนาดใหญ่ด้วย AllaKore RAT

การโจมตีดังกล่าวดูเหมือนจะเน้นไปที่บริษัทขนาดใหญ่ที่มีรายได้ต่อปีเกิน 100 ล้านดอลลาร์โดยเฉพาะ หน่วยงานที่เป็นเป้าหมายครอบคลุมภาคส่วนต่างๆ รวมถึงการค้าปลีก เกษตรกรรม ภาครัฐ การผลิต การขนส่ง บริการเชิงพาณิชย์ สินค้าทุน และการธนาคาร

การติดไวรัสเกิดขึ้นกับไฟล์ ZIP ที่กระจายผ่านฟิชชิ่งหรือการประนีประนอมแบบไดรฟ์ ไฟล์ ZIP นี้มีตัวติดตั้ง MSI ที่รับผิดชอบในการปรับใช้ตัวดาวน์โหลด .NET งานหลักของผู้ดาวน์โหลด ได้แก่ การยืนยันตำแหน่งทางภูมิศาสตร์ในเม็กซิโกของเหยื่อ และดึงข้อมูล AllaKore RAT ที่แก้ไขแล้ว AllaKore RAT ซึ่งเริ่มระบุครั้งแรกในปี 2558 ว่าเป็น RAT ที่ใช้ Delphi อาจดูค่อนข้างพื้นฐาน แต่มีความสามารถที่มีศักยภาพ เช่น การล็อกคีย์ การจับภาพหน้าจอ การอัพโหลด/ดาวน์โหลดไฟล์ และแม้แต่การควบคุมระยะไกลของระบบที่ได้รับผลกระทบ

AllaKore RAT ได้รับการติดตั้งฟีเจอร์คุกคามเพิ่มเติม

ผู้คุกคามได้ปรับปรุงมัลแวร์ด้วยฟังก์ชันใหม่ที่เน้นไปที่การฉ้อโกงทางธนาคารเป็นหลัก โดยเฉพาะการกำหนดเป้าหมายไปที่ธนาคารในเม็กซิโกและแพลตฟอร์มการซื้อขาย crypto คุณสมบัติเพิ่มเติม ได้แก่ ความสามารถในการเริ่มต้นคำสั่งสำหรับการเปิดเชลล์ย้อนกลับ การแยกเนื้อหาคลิปบอร์ด และการดึงข้อมูล เช่นเดียวกับการดำเนินการเพย์โหลดเพิ่มเติม

ความเชื่อมโยงของผู้คุกคามกับละตินอเมริกาปรากฏชัดผ่านการใช้ IP ของ Mexico Starlink ในแคมเปญ นอกจากนี้ เพย์โหลด RAT ที่แก้ไขแล้วยังมีคำแนะนำภาษาสเปนอีกด้วย โดยเฉพาะอย่างยิ่ง เหยื่อฟิชชิ่งได้รับการปรับแต่งให้เหมาะกับบริษัทขนาดใหญ่ที่รายงานโดยตรงต่อแผนกสถาบันประกันสังคมของเม็กซิโก (IMSS)

ผู้ก่อภัยคุกคามอย่างต่อเนื่องรายนี้มุ่งเป้าไปที่หน่วยงานในเม็กซิโกอย่างต่อเนื่องโดยมีจุดประสงค์ในการแสวงหาประโยชน์ทางการเงิน กิจกรรมที่เป็นอันตรายเกิดขึ้นมานานกว่าสองปี โดยไม่มีข้อบ่งชี้ว่าจะยุติลง

ภัยคุกคามของ RAT อาจนำไปสู่ผลที่ตามมาอย่างรุนแรงต่อผู้ที่ตกเป็นเหยื่อ

โทรจันการเข้าถึงระยะไกล (RAT) ก่อให้เกิดอันตรายอย่างมาก เนื่องจากทำให้ผู้ประสงค์ร้ายเข้าถึงและควบคุมคอมพิวเตอร์หรือเครือข่ายของเหยื่อโดยไม่ได้รับอนุญาต ต่อไปนี้คืออันตรายหลักบางประการที่เกี่ยวข้องกับภัยคุกคามของ RAT:

• การเข้าถึงและการควบคุมโดยไม่ได้รับอนุญาต : RAT ช่วยให้ผู้โจมตีสามารถควบคุมระบบที่ถูกบุกรุกจากระยะไกลได้ การเข้าถึงระดับนี้ช่วยให้พวกเขาสามารถรันคำสั่ง จัดการไฟล์ ติดตั้งและถอนการติดตั้งซอฟต์แวร์ และควบคุมคอมพิวเตอร์ของเหยื่อเสมือนว่ามีอยู่จริง
• การโจรกรรมข้อมูลและการจารกรรม : RAT มักใช้เพื่อรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลการเข้าสู่ระบบ ข้อมูลทางการเงิน ข้อมูลส่วนบุคคล และทรัพย์สินทางปัญญา ผู้โจมตีสามารถตรวจสอบกิจกรรมของผู้ใช้ จับการกดแป้นพิมพ์ และเข้าถึงไฟล์แบบเงียบๆ ซึ่งนำไปสู่การละเมิดข้อมูลและการจารกรรมขององค์กรที่อาจเกิดขึ้น
• การเฝ้าระวังและการบุกรุกความเป็นส่วนตัว : เมื่อมีการปรับใช้ RAT ผู้โจมตีสามารถเปิดใช้งานเว็บแคมและไมโครโฟนของเหยื่อโดยที่พวกเขาไม่รู้ ซึ่งนำไปสู่การเฝ้าระวังที่ไม่ได้รับอนุญาต การละเมิดความเป็นส่วนตัวนี้อาจส่งผลที่มีความหมายต่อบุคคลและองค์กร
• การแพร่กระจายและการเคลื่อนไหวด้านข้าง : RAT มักจะมีความสามารถในการจำลองตัวเองและแพร่กระจายภายในเครือข่าย ทำให้ผู้โจมตีสามารถเคลื่อนที่ในแนวขวางผ่านโครงสร้างพื้นฐานขององค์กร ซึ่งอาจส่งผลให้เกิดการประนีประนอมกับหลายระบบและภัยคุกคามความปลอดภัยโดยรวมก็ทวีความรุนแรงขึ้น
• การสูญเสียทางการเงินและการฉ้อโกง : RATs ที่มีความสามารถในการฉ้อโกงทางธนาคารสามารถกำหนดเป้าหมายสถาบันการเงินและผู้ใช้ ซึ่งนำไปสู่การทำธุรกรรมที่ไม่ได้รับอนุญาต การโจรกรรมกองทุน และการสูญเสียทางการเงินอื่น ๆ แพลตฟอร์มการซื้อขาย Crypto ยังเป็นเป้าหมายที่มีช่องโหว่สำหรับผู้โจมตีที่แสวงหาผลประโยชน์ทางการเงิน
• การหยุดชะงักของบริการ : ผู้โจมตีอาจใช้ RAT เพื่อขัดขวางบริการโดยการแก้ไขหรือลบไฟล์สำคัญ เปลี่ยนแปลงการกำหนดค่าระบบ หรือเปิดการโจมตีแบบปฏิเสธการให้บริการ ซึ่งอาจนำไปสู่การหยุดทำงาน การสูญเสียทางการเงิน และสร้างความเสียหายต่อชื่อเสียงขององค์กร
• ความคงอยู่และความยากในการตรวจจับ : RAT ได้รับการออกแบบมาเพื่อรักษาความคงอยู่ในระบบที่ถูกบุกรุก ทำให้การตรวจจับและกำจัดทำได้ยาก พวกเขาอาจใช้เทคนิคการหลีกเลี่ยงต่างๆ เพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัย ทำให้เป็นเรื่องยากสำหรับโซลูชันแอนติไวรัสแบบเดิมในการระบุและบรรเทาภัยคุกคาม
• การจารกรรมทางภูมิศาสตร์การเมืองและการจารกรรมองค์กร : ผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐและกลุ่มจารกรรมขององค์กรอาจใช้ RAT เพื่อวัตถุประสงค์เชิงกลยุทธ์เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน ทรัพย์สินทางปัญญา หรือข้อมูลที่เป็นความลับ ซึ่งอาจส่งผลกว้างไกลต่อความมั่นคงของชาติและองค์กรที่ได้รับผลกระทบ

เพื่อลดความเสี่ยงที่เกี่ยวข้องกับภัยคุกคามของ RAT องค์กรและบุคคลควรใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง รวมถึงการตรวจสอบความปลอดภัยเป็นประจำ การตรวจสอบเครือข่าย การป้องกันอุปกรณ์ปลายทาง และการฝึกอบรมการรับรู้ของผู้ใช้เพื่อรับรู้และหลีกเลี่ยงการโจมตีแบบฟิชชิ่ง