AllaKore RAT

Một chiến dịch lừa đảo trực tuyến đang nhắm mục tiêu vào các tổ chức tài chính Mexico, sử dụng một biến thể sửa đổi của AllaKore RAT, một Trojan truy cập từ xa nguồn mở. Chiến dịch này có liên quan đến một kẻ đe dọa có động cơ tài chính chưa xác định có trụ sở tại Châu Mỹ Latinh. Hoạt động đe dọa này đã diễn ra ít nhất là từ năm 2021. Các chiến thuật lừa đảo liên quan đến việc sử dụng các quy ước đặt tên liên quan đến Viện An sinh Xã hội Mexico (IMSS) và cung cấp liên kết đến các tài liệu có vẻ hợp pháp trong giai đoạn cài đặt. Tải trọng AllaKore RAT được sử dụng trong hoạt động tấn công đã trải qua những sửa đổi đáng kể, cho phép các tác nhân đe dọa truyền thông tin xác thực ngân hàng bị đánh cắp và chi tiết xác thực duy nhất đến máy chủ Chỉ huy và Kiểm soát (C2), tạo điều kiện cho gian lận tài chính.

Tội phạm mạng nhắm mục tiêu vào các tập đoàn lớn bằng AllaKore RAT

Các cuộc tấn công dường như đặc biệt tập trung vào các tập đoàn lớn với doanh thu hàng năm vượt quá 100 triệu USD. Các thực thể mục tiêu trải rộng trên nhiều lĩnh vực khác nhau, bao gồm bán lẻ, nông nghiệp, khu vực công, sản xuất, vận tải, dịch vụ thương mại, hàng hóa vốn và ngân hàng.

Sự lây nhiễm xảy ra với một tệp ZIP được phân phối thông qua lừa đảo hoặc xâm phạm theo từng ổ đĩa. Tệp ZIP này chứa trình cài đặt MSI chịu trách nhiệm triển khai trình tải xuống .NET. Nhiệm vụ chính của trình tải xuống bao gồm xác nhận vị trí địa lý ở Mexico của nạn nhân và tìm nạp AllaKore RAT đã sửa đổi. AllaKore RAT, ban đầu được xác định vào năm 2015 là RAT dựa trên Delphi, có vẻ hơi cơ bản nhưng sở hữu các khả năng mạnh mẽ như ghi bàn phím, chụp màn hình, tải lên/tải xuống tệp và thậm chí cả điều khiển từ xa hệ thống bị ảnh hưởng.

AllaKore RAT đã được trang bị các tính năng đe dọa bổ sung

Tác nhân đe dọa đã cải tiến phần mềm độc hại với các chức năng mới chủ yếu tập trung vào gian lận ngân hàng, đặc biệt nhắm mục tiêu vào các ngân hàng Mexico và nền tảng giao dịch tiền điện tử. Các tính năng bổ sung bao gồm khả năng khởi tạo các lệnh để khởi chạy shell đảo ngược, trích xuất nội dung clipboard và tìm nạp, cũng như thực thi các tải trọng bổ sung.

Mối liên hệ của tác nhân đe dọa với Châu Mỹ Latinh được thể hiện rõ thông qua việc sử dụng IP Starlink của Mexico trong chiến dịch. Ngoài ra, tải trọng RAT đã sửa đổi bao gồm các hướng dẫn bằng tiếng Tây Ban Nha. Đáng chú ý, các mồi nhử lừa đảo được thiết kế riêng cho các công ty có quy mô lớn báo cáo trực tiếp cho bộ phận của Viện An sinh Xã hội Mexico (IMSS).

Tác nhân đe dọa dai dẳng này đã liên tục hướng các nỗ lực của mình tới các thực thể Mexico với mục đích khai thác tài chính. Hoạt động có hại đã kéo dài hơn hai năm và không có dấu hiệu chấm dứt.

Các mối đe dọa từ chuột có thể dẫn đến hậu quả nghiêm trọng cho nạn nhân

Trojan truy cập từ xa (RAT) gây ra những mối nguy hiểm đáng kể vì chúng cung cấp quyền truy cập và kiểm soát trái phép máy tính hoặc mạng của nạn nhân cho các tác nhân độc hại. Dưới đây là một số mối nguy hiểm chính liên quan đến các mối đe dọa RAT:

• Truy cập và kiểm soát trái phép : RAT cho phép kẻ tấn công giành quyền kiểm soát từ xa đối với hệ thống bị xâm nhập. Mức độ truy cập này cho phép chúng thực thi các lệnh, thao tác với tệp, cài đặt và gỡ cài đặt phần mềm và về cơ bản kiểm soát máy tính của nạn nhân như thể họ đang có mặt thực tế.
• Trộm cắp dữ liệu và gián điệp : RAT thường được sử dụng để thu thập thông tin cá nhân, chẳng hạn như thông tin đăng nhập, dữ liệu tài chính, thông tin cá nhân và sở hữu trí tuệ. Những kẻ tấn công có thể âm thầm giám sát hoạt động của người dùng, nắm bắt các thao tác gõ phím và truy cập các tệp, dẫn đến nguy cơ vi phạm dữ liệu và hoạt động gián điệp của công ty.
• Giám sát và xâm phạm quyền riêng tư : Sau khi RAT được triển khai, kẻ tấn công có thể kích hoạt webcam và micrô của nạn nhân mà họ không hề hay biết, dẫn đến việc giám sát trái phép. Việc vi phạm quyền riêng tư này có thể gây ra những hậu quả đáng kể cho các cá nhân và tổ chức.
• Lan truyền và di chuyển ngang : RAT thường có khả năng tự sao chép và lây lan trong mạng, cho phép kẻ tấn công di chuyển ngang qua cơ sở hạ tầng của tổ chức. Điều này có thể dẫn đến sự xâm phạm của nhiều hệ thống và làm gia tăng mối đe dọa bảo mật tổng thể.
• Tổn thất tài chính và gian lận : RAT có khả năng gian lận ngân hàng có thể nhắm mục tiêu vào các tổ chức tài chính và người dùng, dẫn đến các giao dịch trái phép, trộm tiền và các tổn thất tài chính khác. Các nền tảng giao dịch tiền điện tử cũng là mục tiêu dễ bị tấn công của những kẻ tấn công đang tìm kiếm lợi nhuận tài chính.
• Gián đoạn dịch vụ : Kẻ tấn công có thể sử dụng RAT để làm gián đoạn dịch vụ bằng cách sửa đổi hoặc xóa các tệp quan trọng, thay đổi cấu hình hệ thống hoặc khởi chạy các cuộc tấn công từ chối dịch vụ. Điều này có thể dẫn đến thời gian ngừng hoạt động, tổn thất tài chính và tổn hại đến danh tiếng của tổ chức.
• Tính bền bỉ và khó khăn trong việc phát hiện : RAT được thiết kế để duy trì tính bền bỉ trên các hệ thống bị xâm nhập, khiến việc phát hiện và loại bỏ chúng trở nên khó khăn. Họ có thể sử dụng nhiều kỹ thuật trốn tránh khác nhau để vượt qua các biện pháp bảo mật, gây khó khăn cho các giải pháp chống vi-rút truyền thống trong việc xác định và giảm thiểu mối đe dọa.
• Gián điệp doanh nghiệp và địa chính trị : Các tác nhân được nhà nước bảo trợ và các nhóm gián điệp doanh nghiệp có thể sử dụng RAT cho các mục đích chiến lược để có quyền truy cập vào thông tin nhạy cảm, tài sản trí tuệ hoặc dữ liệu mật. Điều này có thể mang lại kết quả sâu rộng cho an ninh quốc gia và các tổ chức bị ảnh hưởng.

Để giảm thiểu rủi ro liên quan đến các mối đe dọa RAT, các tổ chức và cá nhân nên sử dụng các biện pháp an ninh mạng mạnh mẽ, bao gồm kiểm tra bảo mật thường xuyên, giám sát mạng, bảo vệ điểm cuối và đào tạo nâng cao nhận thức cho người dùng để nhận biết và tránh các cuộc tấn công lừa đảo.