Multi-License Discount Quote
Bedrohungsdatenbank Remote Administration Tools AllaKore RAT

AllaKore RAT

Von Mezo in Remote Administration Tools, Advanced Persistent Threat (APT)
Übersetzen Sie in:
Deutsch

Eine Spear-Phishing-Kampagne zielt auf mexikanische Finanzinstitute ab und nutzt eine modifizierte Variante des AllaKore RAT, eines Open-Source-Fernzugriffstrojaners. Die Kampagne steht im Zusammenhang mit einem unbekannten, finanziell motivierten Bedrohungsakteur mit Sitz in Lateinamerika. Diese bedrohliche Aktivität dauert mindestens seit 2021 an. Die Phishing-Taktik besteht darin, Namenskonventionen des mexikanischen Instituts für soziale Sicherheit (IMSS) zu nutzen und während der Installationsphase Links zu scheinbar legitimen Dokumenten bereitzustellen. Die bei der Angriffsoperation verwendete AllaKore RAT-Nutzlast wurde erheblich modifiziert und ermöglicht es Bedrohungsakteuren, gestohlene Bankzugangsdaten und eindeutige Authentifizierungsdaten an einen Command-and-Control-Server (C2) zu übermitteln, was Finanzbetrug erleichtert.

Cyberkriminelle nehmen mit dem AllaKore RAT große Unternehmen ins Visier

Die Angriffe scheinen sich speziell auf große Unternehmen mit einem Jahresumsatz von über 100 Millionen US-Dollar zu konzentrieren. Die Zielunternehmen umfassen verschiedene Sektoren, darunter Einzelhandel, Landwirtschaft, öffentlicher Sektor, Fertigung, Transport, kommerzielle Dienstleistungen, Investitionsgüter und Banken.

Die Infektion erfolgt mit einer ZIP-Datei, die durch Phishing oder eine Drive-by-Kompromittierung verbreitet wird. Diese ZIP-Datei enthält ein MSI-Installationsprogramm, das für die Bereitstellung eines .NET-Downloaders verantwortlich ist. Zu den Hauptaufgaben des Downloaders gehören die Bestätigung des mexikanischen Standorts des Opfers und das Abrufen der modifizierten AllaKore RAT. Der AllaKore RAT, der 2015 erstmals als Delphi-basierter RAT identifiziert wurde, mag etwas einfach erscheinen, verfügt aber über leistungsstarke Funktionen wie Keylogging, Bildschirmaufnahme, Datei-Upload/-Download und sogar Fernsteuerung des betroffenen Systems.

Die AllaKore RAT wurde mit zusätzlichen bedrohlichen Funktionen ausgestattet

Der Bedrohungsakteur hat die Malware mit neuen Funktionen erweitert, die sich hauptsächlich auf Bankbetrug konzentrieren und insbesondere auf mexikanische Banken und Krypto-Handelsplattformen abzielen. Zu den zusätzlichen Funktionen gehört die Möglichkeit, Befehle zum Starten einer Reverse-Shell, zum Extrahieren von Zwischenablageinhalten und zum Abrufen sowie zum Ausführen zusätzlicher Nutzlasten zu initiieren.

Die Verbindung des Bedrohungsakteurs zu Lateinamerika wird durch die Nutzung mexikanischer Starlink-IPs in der Kampagne deutlich. Darüber hinaus enthält die modifizierte RAT-Nutzlast Anweisungen in spanischer Sprache. Insbesondere sind die Phishing-Köder auf Unternehmen von beträchtlicher Größe zugeschnitten, die direkt der Abteilung des mexikanischen Instituts für soziale Sicherheit (IMSS) unterstellt sind.

Dieser hartnäckige Bedrohungsakteur richtet seine Bemühungen konsequent auf mexikanische Unternehmen mit der Absicht der finanziellen Ausbeutung. Die schädliche Aktivität hält seit mehr als zwei Jahren an und es gibt keine Anzeichen dafür, dass sie aufhört.

RAT-Bedrohungen können schwerwiegende Folgen für die Opfer haben

Remote Access Trojaner (RATs) stellen erhebliche Gefahren dar, da sie böswilligen Akteuren unbefugten Zugriff und Kontrolle über den Computer oder das Netzwerk eines Opfers ermöglichen. Hier sind einige der wichtigsten Gefahren, die mit RAT-Bedrohungen verbunden sind:

  • Unbefugter Zugriff und unbefugte Kontrolle : RATs ermöglichen es Angreifern, die Fernkontrolle über ein kompromittiertes System zu erlangen. Diese Zugriffsebene ermöglicht es ihnen, Befehle auszuführen, Dateien zu manipulieren, Software zu installieren und zu deinstallieren und im Wesentlichen den Computer des Opfers zu kontrollieren, als ob sie physisch anwesend wären.
  • Datendiebstahl und Spionage : RATs werden häufig verwendet, um private Informationen wie Anmeldeinformationen, Finanzdaten, persönliche Informationen und geistiges Eigentum zu sammeln. Angreifer können Benutzeraktivitäten stillschweigend überwachen, Tastenanschläge erfassen und auf Dateien zugreifen, was zu potenziellen Datenschutzverletzungen und Unternehmensspionage führen kann.
  • Überwachung und Verletzung der Privatsphäre : Sobald ein RAT eingesetzt wird, können Angreifer ohne deren Wissen die Webcam und das Mikrofon des Opfers aktivieren, was zu einer unbefugten Überwachung führt. Diese Verletzung der Privatsphäre kann schwerwiegende Folgen für Einzelpersonen und Organisationen haben.
  • Ausbreitung und laterale Bewegung : RATs verfügen häufig über die Fähigkeit, sich selbst zu replizieren und innerhalb eines Netzwerks zu verbreiten, sodass Angreifer sich lateral durch die Infrastruktur einer Organisation bewegen können. Dies kann zur Gefährdung mehrerer Systeme und zur Eskalation der gesamten Sicherheitsbedrohung führen.
  • Finanzielle Verluste und Betrug : RATs mit Funktionen für Bankbetrug können Finanzinstitute und Benutzer ins Visier nehmen und zu nicht autorisierten Transaktionen, Gelddiebstahl und anderen finanziellen Verlusten führen. Krypto-Handelsplattformen sind auch anfällige Ziele für Angreifer, die auf finanzielle Gewinne aus sind.
  • Unterbrechung von Diensten : Angreifer können RATs verwenden, um Dienste zu stören, indem sie kritische Dateien ändern oder löschen, Systemkonfigurationen ändern oder Denial-of-Service-Angriffe starten. Dies kann zu Ausfallzeiten, finanziellen Verlusten und Rufschädigungen eines Unternehmens führen.
  • Persistenz und Schwierigkeit der Erkennung : RATs sind darauf ausgelegt, die Persistenz auf kompromittierten Systemen aufrechtzuerhalten, was es schwierig macht, sie zu erkennen und zu entfernen. Sie nutzen möglicherweise verschiedene Umgehungstechniken, um Sicherheitsmaßnahmen zu umgehen, was es für herkömmliche Antivirenlösungen schwierig macht, die Bedrohung zu erkennen und einzudämmen.
  • Geopolitische und Unternehmensspionage : Staatlich geförderte Akteure und Unternehmensspionagegruppen können RATs für strategische Zwecke nutzen, um Zugang zu sensiblen Informationen, geistigem Eigentum oder geheimen Daten zu erhalten. Dies kann weitreichende Folgen für die nationale Sicherheit und die betroffenen Organisationen haben.

Um die mit RAT-Bedrohungen verbundenen Risiken zu mindern, sollten Organisationen und Einzelpersonen robuste Cybersicherheitsmaßnahmen ergreifen, einschließlich regelmäßiger Sicherheitsüberprüfungen, Netzwerküberwachung, Endpunktschutz und Benutzerschulungen, um Phishing-Angriffe zu erkennen und zu vermeiden.

Im Trend

Am häufigsten gesehen

Wird geladen...