アラコレ RAT
スピア フィッシング キャンペーンは、オープンソースのリモート アクセス トロイの木馬である AllaKore RAT の改変された亜種を使用して、メキシコの金融機関をターゲットにしています。このキャンペーンは、ラテンアメリカに拠点を置く正体不明の金銭目的の攻撃者と関連しています。この脅迫的な活動は、少なくとも 2021 年から継続しています。フィッシング戦術には、メキシコ社会保障研究所 (IMSS) に関連する命名規則を利用し、インストール段階で一見正当な文書へのリンクを提供することが含まれます。攻撃操作で使用された AllaKore RAT ペイロードには大幅な変更が加えられており、これにより、攻撃者は盗んだ銀行認証情報や固有の認証詳細をコマンド アンド コントロール (C2) サーバーに送信し、金融詐欺を容易にすることができます。
目次
サイバー犯罪者が AllaKore RAT で大企業を狙う
この攻撃は、特に年間収益が 1 億ドルを超える大企業に焦点を当てているようです。標的となる企業は、小売、農業、公共部門、製造、運輸、商業サービス、資本財、銀行など、さまざまな分野に及びます。
この感染は、フィッシングまたはドライブバイ侵害を通じて配布された ZIP ファイルによって発生します。この ZIP ファイルには、.NET ダウンローダーの展開を担当する MSI インストーラーが含まれています。ダウンローダーの主なタスクには、被害者のメキシコの地理位置情報の確認と、修正された AllaKore RAT の取得が含まれます。 2015 年に Delphi ベースの RAT として最初に特定された AllaKore RAT は、やや基本的なように見えるかもしれませんが、キーロギング、画面キャプチャ、ファイルのアップロード/ダウンロード、さらには影響を受けるシステムのリモート制御などの強力な機能を備えています。
AllaKore RAT には追加の脅威機能が装備されています
この攻撃者は、主に銀行詐欺に焦点を当てた新しい機能でマルウェアを強化し、特にメキシコの銀行と仮想通貨取引プラットフォームをターゲットにしました。追加された機能には、リバース シェルの起動、クリップボードのコンテンツの抽出、フェッチのためのコマンドを開始する機能に加え、追加のペイロードを実行する機能が含まれます。
この攻撃者とラテンアメリカとのつながりは、キャンペーンでメキシコの Starlink IP を利用していることから明らかです。さらに、変更された RAT ペイロードにはスペイン語の命令が含まれています。特に、このフィッシングルアーは、メキシコ社会保障研究所 (IMSS) 部門に直接報告するかなりの規模の企業に合わせて作られています。
この執拗な脅威アクターは、金銭的搾取を目的として、一貫してメキシコの組織にその取り組みを向けてきました。この有害な活動は 2 年以上続いており、止まる気配はありません。
RAT の脅威は被害者に深刻な結果をもたらす可能性があります
リモート アクセス トロイの木馬 (RAT) は、悪意のある攻撃者に被害者のコンピュータまたはネットワークへの不正アクセスと制御を提供するため、重大な危険をもたらします。 RAT の脅威に関連する主な危険性をいくつか紹介します。
- 不正なアクセスと制御: RAT を使用すると、攻撃者は侵害されたシステムをリモート制御できるようになります。このレベルのアクセスにより、攻撃者はコマンドの実行、ファイルの操作、ソフトウェアのインストールとアンインストールを行うことができ、基本的には物理的に存在するかのように被害者のコンピュータを制御することができます。
- データの盗難とスパイ行為: RAT は一般に、ログイン資格情報、財務データ、個人情報、知的財産などの個人情報を収集するために利用されます。攻撃者はユーザーのアクティビティをサイレントに監視し、キーストロークをキャプチャし、ファイルにアクセスすることで、潜在的なデータ侵害や企業スパイ行為につながる可能性があります。
- 監視とプライバシーの侵害: RAT が導入されると、攻撃者は被害者の知らないうちに Web カメラとマイクを起動し、不正な監視につながる可能性があります。このプライバシーの侵害は、個人や組織に重大な影響を与える可能性があります。
- 伝播と横方向の移動: RAT は多くの場合、ネットワーク内で自己複製して拡散する機能を備えており、攻撃者が組織のインフラストラクチャ内を横方向に移動できるようになります。これにより、複数のシステムが侵害され、セキュリティ全体の脅威が拡大する可能性があります。
- 金銭的損失と詐欺: 銀行詐欺の機能を備えた RAT は金融機関やユーザーを標的にし、不正な取引、資金盗難、その他の金銭的損失を引き起こす可能性があります。仮想通貨取引プラットフォームも、金銭的利益を求める攻撃者にとって脆弱な標的となります。
- サービスの中断: 攻撃者は RAT を使用して、重要なファイルの変更または削除、システム構成の変更、またはサービス拒否攻撃の開始によってサービスを中断する可能性があります。これは、ダウンタイム、経済的損失、組織の評判の低下につながる可能性があります。
- 永続性と検出の難しさ: RAT は、侵害されたシステム上で永続性を維持するように設計されているため、検出と削除が困難になります。さまざまな回避手法を使用してセキュリティ対策を回避する可能性があるため、従来のウイルス対策ソリューションが脅威を特定して軽減することが困難になります。
- 地政学的および企業スパイ: 国家の支援を受ける組織および企業スパイグループは、機密情報、知的財産、または機密データへのアクセスを取得する戦略的目的で RAT を使用する可能性があります。これは、国家安全保障と影響を受ける組織に広範囲にわたる結果をもたらす可能性があります。
RAT 脅威に関連するリスクを軽減するために、組織や個人は、定期的なセキュリティ監査、ネットワーク監視、エンドポイント保護、フィッシング攻撃を認識して回避するためのユーザー意識トレーニングなど、堅牢なサイバーセキュリティ対策を採用する必要があります。
