AllaKore RAT

Tietojenkalastelukampanja on suunnattu meksikolaisiin rahoituslaitoksiin, ja se käyttää AllaKore RAT:n, avoimen lähdekoodin etäkäyttötroijalaisen, muunneltua muunnelmaa. Kampanja liittyy tuntemattomaan taloudellisesti motivoituneeseen uhkatekijään Latinalaisessa Amerikassa. Tämä uhkaava toiminta on jatkunut ainakin vuodesta 2021 lähtien. Tietojenkalastelutaktiikoihin kuuluu Mexican Social Security Instituten (IMSS) nimeämiskäytäntöjen hyödyntäminen ja linkkien tarjoaminen näennäisesti laillisille asiakirjoille asennusvaiheessa. Hyökkäysoperaatiossa käytetty AllaKore RAT -hyötykuorma on läpikäynyt huomattavia muutoksia, mikä mahdollistaa uhkatekijöiden välittämisen varastamalla pankkitunnuksia ja ainutlaatuisia todennustietoja Command-and-Control (C2) -palvelimelle, mikä helpottaa taloudellisia petoksia.

Kyberrikolliset tähtäävät suuriin yrityksiin AllaKore RAT:n avulla

Hyökkäykset näyttävät kohdistuvan erityisesti suuriin yrityksiin, joiden vuositulot ylittävät 100 miljoonaa dollaria. Kohdekokonaisuudet kattavat useita toimialoja, kuten vähittäiskaupan, maatalouden, julkisen sektorin, valmistuksen, kuljetuksen, kaupalliset palvelut, pääomahyödykkeet ja pankkitoiminnan.

Tartunta tapahtuu phishing- tai drive-by-kompromissin kautta levitetystä ZIP-tiedostosta. Tämä ZIP-tiedosto sisältää MSI-asennusohjelman, joka vastaa .NET-latausohjelman käyttöönotosta. Lataajan ensisijaiset tehtävät ovat uhrin Meksikon maantieteellisen sijainnin vahvistaminen ja muokatun AllaKore RAT:n hakeminen. AllaKore RAT, joka alun perin tunnistettiin vuonna 2015 Delphi-pohjaiseksi RAT:ksi, saattaa näyttää jokseenkin perustavalta, mutta sillä on tehokkaat ominaisuudet, kuten näppäinloki, näytön sieppaus, tiedostojen lataus/lataus ja jopa järjestelmän kauko-ohjaus.

AllaKore RAT on varustettu uhkaavilla lisäominaisuuksilla

Uhkatoimija on tehostanut haittaohjelmaa uusilla toiminnallisuuksilla, jotka keskittyvät ensisijaisesti pankkipetokseen, erityisesti meksikolaisiin pankkeihin ja kryptokauppaalustoihin. Lisättyihin ominaisuuksiin kuuluu kyky käynnistää komentoja käänteisen kuoren käynnistämiseksi, leikepöydän sisällön purkamiseksi ja hakemiseksi sekä lisähyötykuormien suorittamiseksi.

Uhkatoimijan yhteys Latinalaiseen Amerikkaan käy ilmi Meksikon Starlink IP -osoitteiden hyödyntämisestä kampanjassa. Lisäksi muokattu RAT-hyötykuorma sisältää espanjankieliset ohjeet. Varsinkin phishing-vieheet on räätälöity suurille yrityksille, jotka raportoivat suoraan Meksikon sosiaaliturvainstituutin (IMSS) osastolle.

Tämä jatkuva uhkatoimija on johdonmukaisesti suunnannut ponnistelunsa meksikolaisiin yhteisöihin tarkoituksenaan käyttää taloudellista riistoa. Haitallinen toiminta on kestänyt yli kaksi vuotta, eikä siinä ole merkkejä lopettamisesta.

ROT-uhat voivat johtaa vakaviin seurauksiin uhreille

Etäkäyttötroijalaiset (RAT) aiheuttavat merkittäviä vaaroja, koska ne tarjoavat luvattoman pääsyn ja hallinnan uhrin tietokoneeseen tai verkkoon haitallisille toimijoille. Tässä on joitain tärkeimpiä RAT-uhkiin liittyviä vaaroja:

• Luvaton käyttö ja hallinta : RAT:iden avulla hyökkääjät voivat saada vaarantuneen järjestelmän etähallinnan. Tämä käyttöoikeustaso antaa heille mahdollisuuden suorittaa komentoja, käsitellä tiedostoja, asentaa ja poistaa ohjelmistoja sekä olennaisesti ohjata uhrin tietokonetta ikään kuin he olisivat fyysisesti paikalla.
• Tietovarkaukset ja vakoilu : RAT:ita käytetään yleisesti keräämään yksityisiä tietoja, kuten kirjautumistietoja, taloustietoja, henkilökohtaisia tietoja ja immateriaalioikeuksia. Hyökkääjät voivat valvoa äänettömästi käyttäjien toimintaa, kaapata näppäinpainalluksia ja päästä käsiksi tiedostoihin, mikä johtaa mahdollisiin tietomurtoihin ja yritysvakoiluihin.
• Valvonta ja yksityisyyden loukkaus : Kun RAT on otettu käyttöön, hyökkääjät voivat aktivoida uhrin verkkokameran ja mikrofonin heidän tietämättään, mikä johtaa luvattomaan valvontaan. Tällä yksityisyyden loukkauksella voi olla merkittäviä seurauksia yksilöille ja organisaatioille.
• Levitys ja sivuttaisliike : RAT:illa on usein kyky monistua ja levitä verkossa, jolloin hyökkääjät voivat liikkua sivusuunnassa organisaation infrastruktuurin läpi. Tämä voi johtaa useiden järjestelmien vaarantumiseen ja yleisen turvallisuusuhan eskaloitumiseen.
• Taloudelliset tappiot ja petokset : Pankkipetoksiin kykenevät RAT:t voivat kohdistua rahoituslaitoksiin ja käyttäjiin, mikä johtaa luvattomiin tapahtumiin, rahastovarkauksiin ja muihin taloudellisiin menetyksiin. Kryptokaupankäyntialustat ovat myös haavoittuvia kohteita taloudellista hyötyä tavoitteleville hyökkääjille.
• Palvelujen häiriöt : Hyökkääjät voivat käyttää RAT:ia palveluiden häiritsemiseen muokkaamalla tai poistamalla tärkeitä tiedostoja, muuttamalla järjestelmän kokoonpanoja tai käynnistämällä palvelunestohyökkäyksiä. Tämä voi johtaa seisokkeihin, taloudellisiin menetyksiin ja organisaation maineen vahingoittumiseen.
• Pysyvyys ja havaitsemisvaikeus : RAT:t on suunniteltu säilyttämään pysyvyys vaarantuneissa järjestelmissä, mikä tekee niiden havaitsemisesta ja poistamisesta haastavaa. He voivat käyttää erilaisia evaasitekniikoita turvatoimien ohittamiseen, mikä vaikeuttaa perinteisten virustentorjuntaratkaisujen tunnistamista ja lieventämistä.
• Geopoliittinen ja yritysvakoilu : Valtion tukemat toimijat ja yritysvakoiluryhmät voivat käyttää RAT:ia strategisiin tarkoituksiin saadakseen pääsyn arkaluontoisiin tietoihin, immateriaalioikeuksiin tai turvaluokiteltuihin tietoihin. Tällä voi olla kauaskantoisia tuloksia kansallisen turvallisuuden ja asianomaisten organisaatioiden kannalta.

RAT-uhkiin liittyvien riskien vähentämiseksi organisaatioiden ja henkilöiden tulee käyttää vankkoja kyberturvallisuustoimenpiteitä, mukaan lukien säännölliset tietoturvatarkastukset, verkon valvonta, päätepisteiden suojaus ja käyttäjien tietoisuuskoulutus tietojenkalasteluhyökkäysten tunnistamiseksi ja välttämiseksi.