阿拉科鼠
魚叉式網路釣魚活動針對墨西哥金融機構,使用開源遠端存取木馬 AllaKore RAT 的修改變種。該活動與拉丁美洲一個身份不明、出於經濟動機的威脅行為者有關。這種威脅活動至少自 2021 年以來一直在持續。網路釣魚策略涉及利用與墨西哥社會保障研究所 (IMSS) 相關的命名約定,並在安裝階段提供看似合法文件的連結。攻擊操作中使用的 AllaKore RAT 有效負載已進行了重大修改,使威脅行為者能夠將竊取的銀行憑證和獨特的身份驗證詳細資訊傳輸到命令與控制 (C2) 伺服器,從而促進金融詐欺。
目錄
網路犯罪分子利用 AllaKore RAT 瞄準大型企業
這些攻擊似乎特別針對年收入超過 1 億美元的大公司。目標實體涵蓋各個產業,包括零售、農業、公共部門、製造業、運輸業、商業服務、資本貨物和銀行業。
透過網路釣魚或偷渡式攻擊分發的 ZIP 檔案會發生感染。此 ZIP 檔案包含負責部署 .NET 下載程式的 MSI 安裝程式。下載程式的主要任務包括確認受害者的墨西哥地理位置並取得修改後的 AllaKore RAT。 AllaKore RAT 最初於 2015 年被確定為基於 Delphi 的 RAT,可能看起來有些基本,但具有強大的功能,例如鍵盤記錄、螢幕擷取、檔案上傳/下載,甚至遠端控制受影響的系統。
AllaKore RAT 配備了額外的威脅功能
威脅行為者透過主要針對銀行詐欺的新功能增強了惡意軟體,特別針對墨西哥銀行和加密貨幣交易平台。新增功能包括啟動命令以啟動反向 shell、提取剪貼簿內容、獲取以及執行其他有效負載的能力。
透過在活動中使用墨西哥星鏈 IP,可以明顯看出威脅行為者與拉丁美洲的連結。此外,修改後的 RAT 有效負載包括西班牙語指令。值得注意的是,網路釣魚誘餌是為直接向墨西哥社會安全研究所 (IMSS) 部門報告的規模較大的公司量身定制的。
這個持續的威脅行為者一直將其努力瞄準墨西哥實體,目的是進行金融剝削。這種有害活動已經持續了兩年多,沒有任何停止的跡象。
RAT 威脅可能會對受害者造成嚴重後果
遠端存取特洛伊木馬 (RAT) 會帶來重大危險,因為它們向惡意行為者提供對受害者電腦或網路的未經授權的存取和控制。以下是與 RAT 威脅相關的一些主要危險:
- 未經授權的存取和控制:RAT 允許攻擊者遠端控制受感染的系統。這種級別的存取使他們能夠執行命令、操作文件、安裝和卸載軟體,並從本質上控制受害者的計算機,就像他們實際存在一樣。
- 資料竊取和間諜活動:RAT 通常用於收集私人信息,例如登入憑證、財務資料、個人資訊和智慧財產權。攻擊者可以悄悄地監視用戶活動、捕獲擊鍵並存取文件,從而導致潛在的資料外洩和企業間諜活動。
- 監視和隱私入侵:一旦部署 RAT,攻擊者就可以在受害者不知情的情況下啟動受害者的網路攝影機和麥克風,從而導致未經授權的監視。這種侵犯隱私的行為可能會為個人和組織帶來有意義的後果。
- 傳播和橫向移動:RAT 通常具有在網路內自我複製和傳播的能力,允許攻擊者透過組織的基礎設施橫向移動。這可能會導致多個系統受到損害並導致整體安全威脅升級。
- 財務損失和詐欺:具有銀行詐欺能力的 RAT 可以針對金融機構和用戶,導致未經授權的交易、資金盜竊和其他財務損失。加密貨幣交易平台也是尋求經濟利益的攻擊者的脆弱目標。
- 服務中斷:攻擊者可能會使用 RAT 透過修改或刪除關鍵檔案、更改系統配置或發動拒絕服務攻擊來中斷服務。這可能會導致停機、財務損失以及組織聲譽受損。
- 持久性和檢測難度:RAT 旨在維持受感染系統的持久性,從而使檢測和刪除它們變得困難。他們可能會使用各種規避技術來繞過安全措施,使傳統的防毒解決方案難以識別和減輕威脅。
- 地緣政治和企業間諜活動:國家支持的行為者和企業間諜組織可能會出於戰略目的使用 RAT 來獲取敏感資訊、智慧財產權或機密資料。這可能會對國家安全和受影響的組織產生深遠的影響。
為了減輕與 RAT 威脅相關的風險,組織和個人應採用強大的網路安全措施,包括定期安全審核、網路監控、端點保護和使用者意識培訓,以識別和避免網路釣魚攻擊。
