AllaKore RAT
Hedef odaklı bir kimlik avı kampanyası, açık kaynaklı bir Uzaktan Erişim Truva Atı olan AllaKore RAT'ın değiştirilmiş bir versiyonunu kullanarak Meksika finans kurumlarını hedef alıyor. Kampanya, Latin Amerika merkezli, mali motivasyona sahip, kimliği belirsiz bir tehdit aktörüyle bağlantılı. Bu tehdit edici faaliyet en az 2021'den beri devam ediyor. Kimlik avı taktikleri, Meksika Sosyal Güvenlik Enstitüsü (IMSS) ile ilişkili adlandırma kurallarını kullanmayı ve kurulum aşamasında görünüşte meşru belgelere bağlantılar sağlamayı içeriyor. Saldırı operasyonunda kullanılan AllaKore RAT yükü, tehdit aktörlerinin çalınan bankacılık bilgilerini ve benzersiz kimlik doğrulama ayrıntılarını bir Komuta ve Kontrol (C2) sunucusuna iletmesine olanak tanıyarak finansal dolandırıcılığı kolaylaştıran önemli değişikliklere uğradı.
İçindekiler
Siber Suçlular AllaKore RAT ile Büyük Şirketleri Hedef Alıyor
Saldırıların özellikle yıllık geliri 100 milyon doları aşan büyük şirketlere odaklandığı görülüyor. Hedeflenen kuruluşlar perakende, tarım, kamu sektörü, imalat, ulaştırma, ticari hizmetler, sermaye malları ve bankacılık dahil olmak üzere çeşitli sektörleri kapsamaktadır.
Bulaşma, kimlik avı veya bir saldırı yoluyla dağıtılan bir ZIP dosyasıyla meydana gelir. Bu ZIP dosyası, .NET indiricisinin dağıtımından sorumlu bir MSI yükleyicisini içerir. İndiricinin birincil görevleri arasında kurbanın Meksika coğrafi konumunu doğrulamak ve değiştirilmiş AllaKore RAT'ı getirmek yer alıyor. Başlangıçta 2015 yılında Delphi tabanlı bir RAT olarak tanımlanan AllaKore RAT, biraz basit görünebilir ancak tuş günlüğü tutma, ekran yakalama, dosya yükleme/indirme ve hatta etkilenen sistemin uzaktan kontrolü gibi güçlü yeteneklere sahiptir.
AllaKore RAT Ek Tehdit Edici Özelliklerle Donatıldı
Tehdit aktörü, kötü amaçlı yazılımı, öncelikle bankacılık dolandırıcılığına odaklanan, özellikle Meksika bankalarını ve kripto ticaret platformlarını hedef alan yeni işlevlerle geliştirdi. Eklenen özellikler arasında, ters kabuğun başlatılması, pano içeriğinin çıkarılması ve getirilmesinin yanı sıra ek yüklerin yürütülmesi için komutların başlatılması yeteneği yer alır.
Tehdit aktörünün Latin Amerika ile bağlantısı, kampanyada Meksika Starlink IP'lerinin kullanılmasıyla açıkça görülüyor. Ek olarak, değiştirilmiş RAT yükü İspanyolca dilinde talimatlar içerir. Özellikle, kimlik avı tuzakları, doğrudan Meksika Sosyal Güvenlik Enstitüsü (IMSS) departmanına rapor veren önemli büyüklükteki şirketlere göre uyarlanmıştır.
Bu ısrarcı tehdit aktörü, finansal istismar amacıyla sürekli olarak çabalarını Meksika kuruluşlarına yönlendiriyor. Zararlı faaliyet iki yıldan fazla süredir devam ediyor ve herhangi bir durma belirtisi göstermiyor.
RAT Tehditleri Mağdurlar İçin Ciddi Sonuçlara Yol Açabilir
Uzaktan Erişim Truva Atları (RAT'lar), kötü niyetli kişilerin kurbanın bilgisayarına veya ağına yetkisiz erişim ve kontrol sağlaması nedeniyle önemli tehlikeler oluşturur. RAT tehditleriyle ilişkili bazı önemli tehlikeler şunlardır:
- Yetkisiz Erişim ve Kontrol : RAT'lar, saldırganların güvenliği ihlal edilmiş bir sistemin uzaktan kontrolünü ele geçirmesine olanak tanır. Bu düzeyde erişim, komutları yürütmelerine, dosyaları değiştirmelerine, yazılımları yükleyip kaldırmalarına ve aslında kurbanın bilgisayarını fiziksel olarak oradaymış gibi kontrol etmelerine olanak tanır.
- Veri Hırsızlığı ve Casusluk : RAT'lar genellikle oturum açma kimlik bilgileri, finansal veriler, kişisel bilgiler ve fikri mülkiyet gibi özel bilgileri toplamak için kullanılır. Saldırganlar kullanıcı etkinliklerini sessizce izleyebilir, tuş vuruşlarını yakalayabilir ve dosyalara erişebilir, bu da potansiyel veri ihlallerine ve kurumsal casusluğa yol açabilir.
- Gözetim ve Gizlilik İstilası : Bir RAT konuşlandırıldığında, saldırganlar mağdurun web kamerasını ve mikrofonunu bilgisi olmadan etkinleştirebilir ve bu da yetkisiz gözetime yol açabilir. Bu gizlilik ihlali, bireyler ve kuruluşlar için anlamlı sonuçlar doğurabilir.
- Yayılma ve Yanal Hareket : RAT'lar genellikle kendi kendini kopyalama ve bir ağ içinde yayılma yeteneğine sahip olup, saldırganların bir kuruluşun altyapısında yanal olarak hareket etmesine olanak tanır. Bu, birden fazla sistemin tehlikeye girmesine ve genel güvenlik tehdidinin artmasına neden olabilir.
- Mali Kayıp ve Dolandırıcılık : Bankacılık sahtekarlığı yapma kapasitesine sahip RAT'ler, finansal kurumları ve kullanıcıları hedef alarak yetkisiz işlemlere, fon hırsızlığına ve diğer mali kayıplara yol açabilir. Kripto ticaret platformları aynı zamanda finansal kazanç peşinde koşan saldırganlar için de savunmasız hedeflerdir.
- Hizmetlerin Kesintisi : Saldırganlar, kritik dosyaları değiştirerek veya silerek, sistem yapılandırmalarını değiştirerek veya hizmet reddi saldırıları başlatarak hizmetleri kesintiye uğratmak için RAT'ları kullanabilir. Bu, aksama süresine, mali kayıplara ve kuruluşun itibarının zarar görmesine neden olabilir.
- Kalıcılık ve Tespit Zorluğu : RAT'lar, güvenliği ihlal edilmiş sistemlerde kalıcılığı sürdürmek için tasarlanmıştır, bu da onların tespit edilmesini ve kaldırılmasını zorlaştırır. Güvenlik önlemlerini atlamak için çeşitli kaçırma teknikleri kullanabilirler, bu da geleneksel antivirüs çözümlerinin tehdidi tanımlamasını ve azaltmasını zorlaştırır.
- Jeopolitik ve Kurumsal Casusluk : Devlet destekli aktörler ve kurumsal casusluk grupları, hassas bilgilere, fikri mülkiyete veya gizli verilere erişim elde etmek için RAT'ları stratejik amaçlarla kullanabilir. Bunun ulusal güvenlik ve etkilenen kuruluşlar açısından geniş kapsamlı sonuçları olabilir.
RAT tehditleriyle ilişkili riskleri azaltmak için kuruluşlar ve bireyler, düzenli güvenlik denetimleri, ağ izleme, uç nokta koruması ve kimlik avı saldırılarını tanımak ve önlemek için kullanıcı farkındalığı eğitimi dahil olmak üzere güçlü siber güvenlik önlemleri almalıdır.
