Multi-License Discount Quote
Trusseldatabase Remote Administration Tools AllaKore RATTE

AllaKore RATTE

Med Mezo i Remote Administration Tools, Advanced Persistent Threat (APT)
Oversett til:
Norsk

En spyd-phishing-kampanje er rettet mot meksikanske finansinstitusjoner, og bruker en modifisert variant av AllaKore RAT, en åpen kildekode-trojaner for fjerntilgang. Kampanjen er knyttet til en uidentifisert økonomisk motivert trusselaktør basert i Latin-Amerika. Denne truende aktiviteten har pågått siden minst 2021. Phishing-taktikken innebærer å bruke navnekonvensjoner knyttet til det mexikanske sosialsikkerhetsinstituttet (IMSS) og å gi lenker til tilsynelatende legitime dokumenter under installasjonsfasen. AllaKore RAT-nyttelasten som ble brukt i angrepsoperasjonen har gjennomgått betydelige modifikasjoner, noe som gjør det mulig for trusselaktører å overføre stjålet banklegitimasjon og unike autentiseringsdetaljer til en Command-and-Control-server (C2), noe som letter økonomisk svindel.

Nettkriminelle målretter mot store selskaper med AllaKore RAT

Angrepene ser ut til å spesifikt fokusere på store selskaper med årlige inntekter på over 100 millioner dollar. De målrettede enhetene spenner over ulike sektorer, inkludert detaljhandel, landbruk, offentlig sektor, produksjon, transport, kommersielle tjenester, kapitalvarer og bank.

Infeksjonen skjer med en ZIP-fil distribuert gjennom phishing eller et drive-by-kompromiss. Denne ZIP-filen inneholder et MSI-installasjonsprogram som er ansvarlig for å distribuere en .NET-nedlaster. Nedlasterens primære oppgaver inkluderer å bekrefte offerets meksikanske geolokalisering og hente den modifiserte AllaKore RAT. AllaKore RAT, opprinnelig identifisert i 2015 som en Delphi-basert RAT, kan virke noe grunnleggende, men har kraftige funksjoner som tastelogging, skjermfangst, filopplasting/nedlasting og til og med fjernkontroll av det berørte systemet.

AllaKore RAT har blitt utstyrt med flere truende funksjoner

Trusselaktøren har forbedret skadevaren med nye funksjoner primært fokusert på banksvindel, spesifikt rettet mot meksikanske banker og kryptohandelsplattformer. De ekstra funksjonene inkluderer muligheten til å initiere kommandoer for å starte et omvendt skall, trekke ut utklippstavleinnhold og hente, i tillegg til å utføre ekstra nyttelast.

Trusselaktørens tilknytning til Latin-Amerika er tydelig gjennom bruken av Mexico Starlink IP-er i kampanjen. I tillegg inkluderer den modifiserte RAT-nyttelasten spanskspråklige instruksjoner. Spesielt er phishing-lokkene skreddersydd for selskaper av betydelig størrelse som direkte rapporterer til avdelingen for det mexikanske sosialsikkerhetsinstituttet (IMSS).

Denne vedvarende trusselaktøren har konsekvent rettet sin innsats mot meksikanske enheter med den hensikt å utnytte økonomisk. Den skadelige aktiviteten har vart i mer enn to år, og viser ingen indikasjoner på opphør.

RAT-trusler kan føre til alvorlige konsekvenser for ofre

Remote Access Trojans (RAT) utgjør betydelige farer ettersom de gir uautorisert tilgang og kontroll over et offers datamaskin eller nettverk til ondsinnede aktører. Her er noen viktige farer forbundet med RAT-trusler:

  • Uautorisert tilgang og kontroll : RAT-er lar angripere få fjernkontroll over et kompromittert system. Dette tilgangsnivået gjør dem i stand til å utføre kommandoer, manipulere filer, installere og avinstallere programvare, og i hovedsak kontrollere offerets datamaskin som om de var fysisk til stede.
  • Datatyveri og spionasje : RAT-er brukes ofte til å samle inn privat informasjon, for eksempel påloggingsinformasjon, økonomiske data, personlig informasjon og åndsverk. Angripere kan stille overvåke brukeraktiviteter, fange tastetrykk og få tilgang til filer, noe som fører til potensielle datainnbrudd og bedriftsspionasje.
  • Overvåking og personverninvasjon : Når en RAT er utplassert, kan angripere aktivere offerets webkamera og mikrofon uten deres viten, noe som fører til uautorisert overvåking. Dette bruddet på personvernet kan få betydningsfulle konsekvenser for enkeltpersoner og organisasjoner.
  • Utbredelse og lateral bevegelse : RAT-er har ofte evnen til å selvreplisere og spre seg i et nettverk, slik at angripere kan bevege seg sideveis gjennom en organisasjons infrastruktur. Dette kan resultere i kompromittering av flere systemer og eskalering av den generelle sikkerhetstrusselen.
  • Økonomisk tap og svindel : RAT-er med muligheter for banksvindel kan målrette mot finansinstitusjoner og brukere, noe som fører til uautoriserte transaksjoner, fondstyveri og andre økonomiske tap. Kryptohandelsplattformer er også sårbare mål for angripere som søker økonomiske gevinster.
  • Forstyrrelse av tjenester : Angripere kan bruke RAT-er for å forstyrre tjenester ved å endre eller slette kritiske filer, endre systemkonfigurasjoner eller starte tjenestenektangrep. Dette kan føre til nedetid, økonomiske tap og skade på en organisasjons omdømme.
  • Persistens og deteksjonsproblemer : RAT-er er designet for å opprettholde utholdenhet på kompromitterte systemer, noe som gjør dem utfordrende å oppdage og fjerne. De kan bruke ulike unndragelsesteknikker for å omgå sikkerhetstiltak, noe som gjør det vanskelig for tradisjonelle antivirusløsninger å identifisere og dempe trusselen.
  • Geopolitisk og bedriftsspionasje : Statsstøttede aktører og bedriftsspionasjegrupper kan bruke RAT-er til strategiske formål for å få tilgang til sensitiv informasjon, intellektuell eiendom eller klassifisert data. Dette kan ha vidtrekkende resultater for nasjonal sikkerhet og de berørte organisasjonene.

For å redusere risikoen forbundet med RAT-trusler, bør organisasjoner og enkeltpersoner bruke robuste cybersikkerhetstiltak, inkludert regelmessige sikkerhetsrevisjoner, nettverksovervåking, endepunktsbeskyttelse og brukeropplæring for å gjenkjenne og unngå phishing-angrep.

Trender

Mest sett

Laster inn...