АллаКоре РАЦ

Фішингова кампанія спрямована на мексиканські фінансові установи, використовуючи модифікований варіант AllaKore RAT, трояна віддаленого доступу з відкритим кодом. Кампанія пов’язана з невідомим фінансово мотивованим загрозливим суб’єктом, який базується в Латинській Америці. Ця загрозлива діяльність триває щонайменше з 2021 року. Тактика фішингу передбачає використання угод про найменування, пов’язаних з Мексиканським інститутом соціального забезпечення (IMSS), і надання посилань на, здавалося б, законні документи на етапі встановлення. Корисне навантаження AllaKore RAT, яке використовувалося в операції атаки, зазнало суттєвих модифікацій, що дозволило зловмисникам передавати вкрадені банківські облікові дані та унікальні дані автентифікації на сервер командування та контролю (C2), сприяючи фінансовому шахрайству.

Кіберзлочинці націлюються на великі корпорації за допомогою AllaKore RAT

Схоже, що атаки спрямовані саме на великі корпорації з річним доходом понад 100 мільйонів доларів. Цільові організації охоплюють різні сектори, включаючи роздрібну торгівлю, сільське господарство, державний сектор, виробництво, транспорт, комерційні послуги, капітальні товари та банківську справу.

Зараження відбувається через файл ZIP, який розповсюджується через фішинг або компрометацію. Цей ZIP-файл містить інсталятор MSI, відповідальний за розгортання завантажувача .NET. Основні завдання завантажувача включають підтвердження мексиканського геолокації жертви та отримання модифікованого AllaKore RAT. AllaKore RAT, спочатку визначений у 2015 році як RAT на базі Delphi, може здатися дещо простим, але має потужні можливості, такі як клавіатурний журнал, захоплення екрана, завантаження/завантаження файлів і навіть дистанційне керування ураженою системою.

AllaKore RAT був оснащений додатковими загрозливими функціями

Зловмисник доповнив зловмисне програмне забезпечення новими функціями, які в основному зосереджені на банківському шахрайстві, зокрема націлені на мексиканські банки та криптовалютні платформи. Додаткові функції включають можливість ініціювати команди для запуску зворотної оболонки, вилучення вмісту буфера обміну та отримання, а також виконання додаткових корисних навантажень.

Зв’язок зловмисника з Латинською Америкою очевидний завдяки використанню в кампанії IP-адрес Мексики Starlink. Крім того, змінене корисне навантаження RAT містить іспаномовні інструкції. Примітно, що фішингові приманки призначені для компаній значного розміру, які безпосередньо підпорядковані відділу Мексиканського інституту соціального забезпечення (IMSS).

Цей постійний загрозливий актор постійно спрямовує свої зусилля на мексиканські організації з наміром фінансової експлуатації. Шкідлива діяльність триває більше двох років, не демонструючи жодних ознак припинення.

Загрози ЩУР можуть призвести до тяжких наслідків для жертв

Трояни віддаленого доступу (RAT) становлять значну небезпеку, оскільки надають зловмисникам несанкціонований доступ і контроль над комп’ютером або мережею жертви. Ось кілька основних небезпек, пов’язаних із загрозами RAT:

• Несанкціонований доступ і контроль : RATs дозволяють зловмисникам отримати дистанційний контроль над скомпрометованою системою. Цей рівень доступу дозволяє їм виконувати команди, маніпулювати файлами, встановлювати та видаляти програмне забезпечення та, по суті, контролювати комп’ютер жертви так, ніби вони фізично присутні.
• Крадіжка даних і шпигунство : RAT зазвичай використовуються для збору приватної інформації, такої як облікові дані для входу, фінансові дані, особиста інформація та інтелектуальна власність. Зловмисники можуть безшумно відстежувати дії користувачів, фіксувати натискання клавіш і отримувати доступ до файлів, що призводить до потенційного витоку даних і корпоративного шпигунства.
• Спостереження та порушення конфіденційності : після розгортання RAT зловмисники можуть активувати веб-камеру та мікрофон жертви без їх відома, що призводить до несанкціонованого стеження. Це порушення конфіденційності може мати серйозні наслідки для окремих осіб і організацій.
• Розповсюдження та латеральне переміщення : RAT часто мають здатність до самовідтворення та поширення в мережі, дозволяючи зловмисникам латерально переміщатися через інфраструктуру організації. Це може призвести до зламу кількох систем і ескалації загальної загрози безпеці.
• Фінансові втрати та шахрайство : RAT із можливостями банківського шахрайства можуть націлюватися на фінансові установи та користувачів, що призводить до несанкціонованих транзакцій, крадіжки коштів та інших фінансових втрат. Криптоторговельні платформи також є вразливими цілями для зловмисників, які прагнуть отримати фінансову вигоду.
• Порушення роботи служб : зловмисники можуть використовувати RAT, щоб порушити роботу служб, змінюючи або видаляючи критичні файли, змінюючи конфігурації системи або запускаючи атаки на відмову в обслуговуванні. Це може призвести до простою, фінансових втрат і завдати шкоди репутації організації.
• Стійкість і складність виявлення : RATs призначені для підтримки стійкості в скомпрометованих системах, що ускладнює їх виявлення та видалення. Вони можуть використовувати різні методи ухилення, щоб обійти заходи безпеки, що ускладнює традиційним антивірусним рішенням виявлення та пом’якшення загрози.
• Геополітичне та корпоративне шпигунство : суб’єкти, які спонсоруються державою, і групи корпоративного шпигунства можуть використовувати RAT у стратегічних цілях, щоб отримати доступ до конфіденційної інформації, інтелектуальної власності чи секретних даних. Це може мати далекосяжні результати для національної безпеки та постраждалих організацій.

Щоб зменшити ризики, пов’язані із загрозами RAT, організації та окремі особи повинні застосовувати надійні заходи кібербезпеки, включаючи регулярні аудити безпеки, моніторинг мережі, захист кінцевих точок і навчання користувачів, щоб розпізнавати та уникати фішингових атак.