AllaKore RAT

Een spearphishing-campagne is gericht op Mexicaanse financiële instellingen, waarbij gebruik wordt gemaakt van een aangepaste variant van de AllaKore RAT, een open-source Remote Access Trojan. De campagne is gekoppeld aan een onbekende, financieel gemotiveerde dreigingsactoren in Latijns-Amerika. Deze bedreigende activiteit is al sinds ten minste 2021 aan de gang. De phishing-tactieken omvatten het gebruik van naamgevingsconventies die verband houden met het Mexicaanse Social Security Institute (IMSS) en het verstrekken van links naar ogenschijnlijk legitieme documenten tijdens de installatiefase. De AllaKore RAT-payload die bij de aanvalsoperatie wordt gebruikt, heeft aanzienlijke wijzigingen ondergaan, waardoor bedreigingsactoren gestolen bankgegevens en unieke authenticatiegegevens naar een Command-and-Control (C2)-server kunnen verzenden, waardoor financiële fraude wordt vergemakkelijkt.

Cybercriminelen richten zich op grote bedrijven met de AllaKore RAT

De aanvallen lijken zich specifiek te richten op grote bedrijven met een jaaromzet van meer dan 100 miljoen dollar. De beoogde entiteiten omvatten verschillende sectoren, waaronder detailhandel, landbouw, publieke sector, productie, transport, commerciële dienstverlening, kapitaalgoederen en het bankwezen.

De infectie vindt plaats met een ZIP-bestand dat wordt verspreid via phishing of een drive-by-compromis. Dit ZIP-bestand bevat een MSI-installatieprogramma dat verantwoordelijk is voor het implementeren van een .NET-downloader. De belangrijkste taken van de downloader zijn onder meer het bevestigen van de Mexicaanse geolocatie van het slachtoffer en het ophalen van de gewijzigde AllaKore RAT. De AllaKore RAT, aanvankelijk in 2015 geïdentificeerd als een op Delphi gebaseerde RAT, lijkt misschien wat eenvoudig, maar beschikt over krachtige mogelijkheden zoals keylogging, schermopname, het uploaden/downloaden van bestanden en zelfs afstandsbediening van het getroffen systeem.

De AllaKore RAT is uitgerust met extra bedreigende functies

De bedreigingsacteur heeft de malware verbeterd met nieuwe functionaliteiten die voornamelijk gericht zijn op bankfraude, specifiek gericht op Mexicaanse banken en cryptohandelplatforms. De toegevoegde functies omvatten de mogelijkheid om opdrachten te initiëren voor het starten van een omgekeerde shell, het extraheren van klembordinhoud en het ophalen ervan, evenals het uitvoeren van extra payloads.

De connectie van de dreigingsactor met Latijns-Amerika wordt duidelijk door het gebruik van Mexico Starlink IP's in de campagne. Bovendien bevat de gewijzigde RAT-payload Spaanstalige instructies. Het phishing-lokmiddel is met name toegesneden op bedrijven van aanzienlijke omvang die rechtstreeks rapporteren aan de afdeling van het Mexicaanse Sociale Zekerheidsinstituut (IMSS).

Deze aanhoudende dreigingsactor heeft zijn inspanningen consequent gericht op Mexicaanse entiteiten met de bedoeling financiële uitbuiting te bewerkstelligen. De schadelijke activiteit duurt al ruim twee jaar en er zijn geen aanwijzingen dat deze is stopgezet.

RAT-bedreigingen kunnen ernstige gevolgen hebben voor slachtoffers

Remote Access Trojans (RAT's) vormen aanzienlijke gevaren omdat ze ongeautoriseerde toegang en controle over de computer of het netwerk van een slachtoffer aan kwaadwillende actoren bieden. Hier zijn enkele belangrijke gevaren die verband houden met RAT-bedreigingen:

• Ongeautoriseerde toegang en controle : Met RAT's kunnen aanvallers op afstand controle krijgen over een gecompromitteerd systeem. Met dit toegangsniveau kunnen ze opdrachten uitvoeren, bestanden manipuleren, software installeren en verwijderen en in wezen de computer van het slachtoffer besturen alsof deze fysiek aanwezig is.
• Gegevensdiefstal en spionage : RAT's worden vaak gebruikt om privé-informatie te verzamelen, zoals inloggegevens, financiële gegevens, persoonlijke informatie en intellectueel eigendom. Aanvallers kunnen in stilte gebruikersactiviteiten monitoren, toetsaanslagen vastleggen en toegang krijgen tot bestanden, wat kan leiden tot potentiële datalekken en bedrijfsspionage.
• Bewaking en schending van de privacy : Zodra een RAT is ingezet, kunnen aanvallers zonder hun medeweten de webcam en microfoon van het slachtoffer activeren, wat leidt tot ongeoorloofde surveillance. Deze inbreuk op de privacy kan betekenisvolle gevolgen hebben voor individuen en organisaties.
• Voortplanting en laterale beweging : RAT's hebben vaak het vermogen om zichzelf te repliceren en te verspreiden binnen een netwerk, waardoor aanvallers zich lateraal door de infrastructuur van een organisatie kunnen bewegen. Dit kan resulteren in het compromitteren van meerdere systemen en de escalatie van de algehele veiligheidsdreiging.
• Financiële verliezen en fraude : RAT's met mogelijkheden voor bankfraude kunnen zich richten op financiële instellingen en gebruikers, wat kan leiden tot ongeoorloofde transacties, diefstal van fondsen en andere financiële verliezen. Crypto-handelsplatforms zijn ook kwetsbare doelwitten voor aanvallers die op zoek zijn naar financieel gewin.
• Verstoring van services : aanvallers kunnen RAT's gebruiken om services te verstoren door kritieke bestanden aan te passen of te verwijderen, systeemconfiguraties te wijzigen of denial-of-service-aanvallen uit te voeren. Dit kan leiden tot downtime, financiële verliezen en reputatieschade van een organisatie.
• Persistentie en moeilijkheidsgraad van detectie : RAT's zijn ontworpen om persistentie op gecompromitteerde systemen te behouden, waardoor ze lastig te detecteren en te verwijderen zijn. Ze kunnen verschillende ontwijkingstechnieken gebruiken om beveiligingsmaatregelen te omzeilen, waardoor het voor traditionele antivirusoplossingen moeilijk wordt om de dreiging te identificeren en te beperken.
• Geopolitieke en bedrijfsspionage : Door de staat gesponsorde actoren en bedrijfsspionagegroepen kunnen RAT's gebruiken voor strategische doeleinden om toegang te krijgen tot gevoelige informatie, intellectueel eigendom of geheime gegevens. Dit kan verstrekkende gevolgen hebben voor de nationale veiligheid en de getroffen organisaties.

Om de risico's die gepaard gaan met RAT-bedreigingen te beperken, moeten organisaties en individuen robuuste cyberbeveiligingsmaatregelen nemen, waaronder regelmatige beveiligingsaudits, netwerkmonitoring, eindpuntbescherming en gebruikersbewustzijnstraining om phishing-aanvallen te herkennen en te vermijden.