AllaKore DAGA

Ang isang spear-phishing campaign ay nagta-target sa mga institusyong pinansyal ng Mexico, na gumagamit ng binagong variant ng AllaKore RAT, isang open-source na Remote Access Trojan. Ang kampanya ay naka-link sa isang hindi kilalang financially motivated threat actor na nakabase sa Latin America. Ang nagbabantang aktibidad na ito ay nagpapatuloy mula pa noong 2021. Kasama sa mga taktika ng phishing ang paggamit ng mga kombensiyon sa pagbibigay ng pangalan na nauugnay sa Mexican Social Security Institute (IMSS) at pagbibigay ng mga link sa tila mga lehitimong dokumento sa yugto ng pag-install. Ang kargamento ng AllaKore RAT na ginamit sa operasyon ng pag-atake ay sumailalim sa malalaking pagbabago, na nagbibigay-daan sa mga aktor ng pagbabanta na magpadala ng mga inagaw na kredensyal sa pagbabangko at mga natatanging detalye ng pagpapatunay sa isang Command-and-Control (C2) server, na nagpapadali sa pandaraya sa pananalapi.

Tinatarget ng mga Cybercriminal ang Malalaking Korporasyon gamit ang AllaKore RAT

Ang mga pag-atake ay tila partikular na nakatuon sa malalaking korporasyon na may taunang kita na lampas sa $100 milyon. Ang mga target na entidad ay sumasaklaw sa iba't ibang sektor, kabilang ang tingian, agrikultura, pampublikong sektor, pagmamanupaktura, transportasyon, komersyal na serbisyo, mga kalakal sa kapital at pagbabangko.

Ang impeksyon ay nangyayari sa isang ZIP file na ipinamahagi sa pamamagitan ng phishing o isang drive-by na kompromiso. Ang ZIP file na ito ay naglalaman ng isang MSI installer na responsable para sa pag-deploy ng isang .NET downloader. Kabilang sa mga pangunahing gawain ng downloader ang pagkumpirma sa Mexican geolocation ng biktima at pagkuha sa binagong AllaKore RAT. Ang AllaKore RAT, na unang tinukoy noong 2015 bilang isang Delphi-based na RAT, ay maaaring lumitaw na medyo basic ngunit nagtataglay ng makapangyarihang mga kakayahan tulad ng keylogging, screen capturing, pag-upload/pag-download ng file, at kahit remote control ng apektadong system.

Ang AllaKore RAT ay Nilagyan ng Karagdagang Mga Tampok na Pagbabanta

Pinahusay ng threat actor ang malware gamit ang mga bagong functionality na pangunahing nakatuon sa pandaraya sa pagbabangko, partikular na nagta-target sa mga Mexican na bangko at crypto trading platform. Kasama sa mga idinagdag na feature ang kakayahang magpasimula ng mga command para sa paglulunsad ng reverse shell, pag-extract ng content ng clipboard, at pagkuha, pati na rin ang pagsasagawa ng mga karagdagang payload.

Ang koneksyon ng banta ng aktor sa Latin America ay makikita sa pamamagitan ng paggamit ng Mexico Starlink IPs sa kampanya. Bukod pa rito, kasama sa binagong RAT payload ang mga tagubilin sa wikang Espanyol. Kapansin-pansin, ang mga pang-akit ng phishing ay iniangkop sa mga kumpanyang may malaking sukat na direktang nag-uulat sa departamento ng Mexican Social Security Institute (IMSS).

Ang paulit-ulit na banta ng aktor na ito ay patuloy na nagtuturo sa mga pagsisikap nito patungo sa mga entidad ng Mexico na may layunin ng pananamantalang pananalapi. Ang mapaminsalang aktibidad ay tumagal nang higit sa dalawang taon, na hindi nagpapakita ng mga indikasyon ng pagtigil.

Ang mga Pagbabanta sa daga ay maaaring humantong sa matitinding kahihinatnan para sa mga biktima

Ang Remote Access Trojans (RATs) ay nagdudulot ng malaking panganib habang nagbibigay sila ng hindi awtorisadong pag-access at kontrol sa computer o network ng biktima sa mga malisyosong aktor. Narito ang ilang pangunahing panganib na nauugnay sa mga banta ng RAT:

• Hindi awtorisadong Pag-access at Kontrol : Ang mga RAT ay nagbibigay-daan sa mga umaatake na makakuha ng malayuang kontrol ng isang nakompromisong sistema. Ang antas ng pag-access na ito ay nagbibigay-daan sa kanila na magsagawa ng mga utos, magmanipula ng mga file, mag-install at mag-uninstall ng software, at mahalagang kontrolin ang computer ng biktima na parang pisikal na naroroon sila.
• Pagnanakaw ng Data at Espionage : Ang mga RAT ay karaniwang ginagamit upang mangolekta ng pribadong impormasyon, tulad ng mga kredensyal sa pag-login, data sa pananalapi, personal na impormasyon at intelektwal na ari-arian. Maaaring tahimik na subaybayan ng mga attacker ang mga aktibidad ng user, pagkuha ng mga keystroke, at pag-access ng mga file, na humahantong sa mga potensyal na paglabag sa data at espionage ng kumpanya.
• Surveillance at Privacy Invasion : Kapag na-deploy na ang isang RAT, maaaring i-activate ng mga attacker ang webcam at mikropono ng biktima nang hindi nila nalalaman, na humahantong sa hindi awtorisadong pagsubaybay. Ang paglabag sa privacy na ito ay maaaring magkaroon ng makabuluhang kahihinatnan para sa mga indibidwal at organisasyon.
• Pagpapalaganap at Lateral Movement : Ang mga RAT ay kadalasang may kakayahang mag-self-replicate at kumalat sa loob ng isang network, na nagpapahintulot sa mga umaatake na lumipat sa gilid sa pamamagitan ng imprastraktura ng isang organisasyon. Ito ay maaaring magresulta sa kompromiso ng maraming system at ang pagdami ng pangkalahatang banta sa seguridad.
• Pagkalugi sa Pinansyal at Panloloko : Maaaring i-target ng mga RAT na may mga kakayahan para sa pandaraya sa pagbabangko ang mga institusyong pampinansyal at mga gumagamit, na humahantong sa mga hindi awtorisadong transaksyon, pagnanakaw ng pondo, at iba pang mga pagkalugi sa pananalapi. Ang mga platform ng Crypto trading ay mga masusugatan ding target para sa mga umaatake na naghahanap ng mga kita sa pananalapi.
• Pagkagambala sa Mga Serbisyo : Maaaring gumamit ng mga RAT ang mga umaatake upang guluhin ang mga serbisyo sa pamamagitan ng pagbabago o pagtanggal ng mga kritikal na file, pagbabago ng mga configuration ng system, o paglulunsad ng mga pag-atake sa pagtanggi sa serbisyo. Maaari itong humantong sa downtime, mga pagkalugi sa pananalapi, at pinsala sa reputasyon ng isang organisasyon.
• Pagtitiyaga at Kahirapan sa Pag-detect : Ang mga RAT ay idinisenyo upang mapanatili ang pagtitiyaga sa mga nakompromisong system, na ginagawang mahirap silang tuklasin at alisin. Maaari silang gumamit ng iba't ibang mga diskarte sa pag-iwas upang i-bypass ang mga hakbang sa seguridad, na ginagawang mahirap para sa mga tradisyunal na solusyon sa antivirus na kilalanin at pagaanin ang banta.
• Geopolitical at Corporate Espionage : Maaaring gumamit ng mga RAT ang mga aktor at corporate espionage group na inisponsor ng estado para sa mga layuning estratehiko upang makakuha ng access sa sensitibong impormasyon, intelektwal na ari-arian, o classified data. Ito ay maaaring magkaroon ng malalayong resulta para sa pambansang seguridad at sa mga apektadong organisasyon.

Upang mapagaan ang mga panganib na nauugnay sa mga banta ng RAT, ang mga organisasyon at indibidwal ay dapat gumamit ng matatag na mga hakbang sa cybersecurity, kabilang ang mga regular na pag-audit sa seguridad, pagsubaybay sa network, proteksyon sa endpoint, at pagsasanay sa kamalayan ng user upang makilala at maiwasan ang mga pag-atake ng phishing.