AllaKore RAT

Celem kampanii phishingowej typu spear-phishing jest wycelowana w meksykańskie instytucje finansowe i wykorzystuje zmodyfikowaną odmianę AllaKore RAT, trojana zdalnego dostępu o otwartym kodzie źródłowym. Kampania jest powiązana z niezidentyfikowanym ugrupowaniem stwarzającym zagrożenie o charakterze finansowym z siedzibą w Ameryce Łacińskiej. Ta groźna aktywność trwa co najmniej od 2021 r. Taktyki phishingu obejmują wykorzystywanie konwencji nazewnictwa skojarzonych z Meksykańskim Instytutem Zabezpieczenia Społecznego (IMSS) i udostępnianie linków do pozornie legalnych dokumentów na etapie instalacji. Ładunek AllaKore RAT wykorzystany w operacji ataku został poddany znaczącym modyfikacjom, umożliwiając podmiotom zagrażającym przesyłanie skradzionych danych uwierzytelniających bankowych i unikalnych szczegółów uwierzytelniających do serwera dowodzenia i kontroli (C2), ułatwiając oszustwa finansowe.

Cyberprzestępcy atakują duże korporacje za pomocą AllaKore RAT

Ataki wydają się skupiać szczególnie na dużych korporacjach, których roczne przychody przekraczają 100 milionów dolarów. Docelowe podmioty obejmują różne sektory, w tym handel detaliczny, rolnictwo, sektor publiczny, produkcję, transport, usługi handlowe, dobra inwestycyjne i bankowość.

Do infekcji dochodzi poprzez plik ZIP rozpowszechniany w drodze phishingu lub ataku typu drive-by. Ten plik ZIP zawiera instalator MSI odpowiedzialny za wdrożenie modułu pobierania .NET. Do głównych zadań modułu pobierającego należy potwierdzenie meksykańskiej geolokalizacji ofiary i pobranie zmodyfikowanego AllaKore RAT. AllaKore RAT, początkowo zidentyfikowany w 2015 roku jako RAT oparty na Delphi, może wydawać się dość prosty, ale posiada potężne możliwości, takie jak rejestrowanie klawiszy, przechwytywanie ekranu, przesyłanie/pobieranie plików, a nawet zdalne sterowanie systemem, którego dotyczy luka.

AllaKore RAT został wyposażony w dodatkowe, groźne funkcje

Osoba zagrażająca ulepszyła złośliwe oprogramowanie o nowe funkcje skupiające się głównie na oszustwach bankowych, w szczególności atakując meksykańskie banki i platformy handlu kryptowalutami. Dodane funkcje obejmują możliwość inicjowania poleceń uruchamiania powłoki odwrotnej, wyodrębniania zawartości schowka i pobierania, a także wykonywania dodatkowych ładunków.

Powiązanie ugrupowania zagrażającego z Ameryką Łacińską jest oczywiste dzięki wykorzystaniu w kampanii adresów IP Mexico Starlink. Dodatkowo zmodyfikowany ładunek RAT zawiera instrukcje w języku hiszpańskim. Warto zauważyć, że przynęty phishingowe są dostosowane do potrzeb firm o znacznej wielkości, które bezpośrednio podlegają departamentowi Meksykańskiego Instytutu Ubezpieczeń Społecznych (IMSS).

Ten utrzymujący się ugrupowanie stwarzające zagrożenie konsekwentnie kieruje swoje wysiłki w stronę podmiotów meksykańskich z zamiarem wyzysku finansowego. Szkodliwa działalność trwała ponad dwa lata i nic nie wskazywało na jej ustanie.

Zagrożenia szczurami mogą mieć poważne konsekwencje dla ofiar

Trojany dostępu zdalnego (RAT) stwarzają poważne zagrożenia, ponieważ zapewniają złośliwym podmiotom nieautoryzowany dostęp i kontrolę nad komputerem lub siecią ofiary. Oto kilka kluczowych zagrożeń związanych z zagrożeniami RAT:

• Nieautoryzowany dostęp i kontrola : RAT umożliwiają atakującym uzyskanie zdalnej kontroli nad zaatakowanym systemem. Ten poziom dostępu umożliwia im wykonywanie poleceń, manipulowanie plikami, instalowanie i odinstalowywanie oprogramowania oraz zasadniczo kontrolowanie komputera ofiary tak, jakby była ona fizycznie obecna.
• Kradzież danych i szpiegostwo : RAT są powszechnie wykorzystywane do gromadzenia prywatnych informacji, takich jak dane logowania, dane finansowe, dane osobowe i własność intelektualna. Atakujący mogą po cichu monitorować działania użytkowników, przechwytywać naciśnięcia klawiszy i uzyskiwać dostęp do plików, co może prowadzić do potencjalnych naruszeń bezpieczeństwa danych i szpiegostwa korporacyjnego.
• Nadzór i naruszenie prywatności : po wdrożeniu RAT napastnicy mogą aktywować kamerę internetową i mikrofon ofiary bez jej wiedzy, co prowadzi do nieautoryzowanego nadzoru. To naruszenie prywatności może mieć znaczące konsekwencje dla osób i organizacji.
• Propagacja i ruch boczny : RAT często mają zdolność do samoreplikacji i rozprzestrzeniania się w sieci, umożliwiając atakującym boczne poruszanie się po infrastrukturze organizacji. Może to skutkować naruszeniem bezpieczeństwa wielu systemów i eskalacją ogólnego zagrożenia bezpieczeństwa.
• Straty finansowe i oszustwa : RAT posiadające możliwości oszustw bankowych mogą atakować instytucje finansowe i użytkowników, prowadząc do nieautoryzowanych transakcji, kradzieży funduszy i innych strat finansowych. Platformy handlu kryptowalutami są również wrażliwymi celami dla atakujących szukających korzyści finansowych.
• Zakłócenia usług : osoby atakujące mogą wykorzystywać RAT do zakłócania usług poprzez modyfikowanie lub usuwanie krytycznych plików, zmianę konfiguracji systemu lub przeprowadzanie ataków typu „odmowa usługi”. Może to prowadzić do przestojów, strat finansowych i uszczerbku na reputacji organizacji.
• Trwałość i trudność wykrycia : RAT zaprojektowano tak, aby utrzymywały trwałość w zaatakowanych systemach, co utrudnia ich wykrycie i usunięcie. Mogą wykorzystywać różne techniki obchodzenia zabezpieczeń w celu ominięcia zabezpieczeń, co utrudnia tradycyjnym rozwiązaniom antywirusowym identyfikację i ograniczenie zagrożenia.
• Szpiegostwo geopolityczne i korporacyjne : sponsorowani przez państwo podmioty i korporacyjne grupy szpiegowskie mogą wykorzystywać RAT do celów strategicznych, aby uzyskać dostęp do informacji wrażliwych, własności intelektualnej lub danych niejawnych. Może to mieć dalekosiężne skutki dla bezpieczeństwa narodowego i zainteresowanych organizacji.

Aby ograniczyć ryzyko związane z zagrożeniami RAT, organizacje i osoby fizyczne powinny stosować solidne środki bezpieczeństwa cybernetycznego, w tym regularne audyty bezpieczeństwa, monitorowanie sieci, ochronę punktów końcowych i szkolenia uświadamiające użytkowników, aby rozpoznawać i unikać ataków typu phishing.