- 黑莓的研究部门侦测到一名出于经济动机的攻击者,其目标为高净值墨西哥银行和加密货币交易所,预计窃取金额超过 1 亿美元。
- 攻击者位于拉丁美洲,利用 AllaKore RAT 恶意软件窃取银行和加密货币交易所的机密数据。
黑莓的研究与情报部门侦测到并警告了一名经济动机攻击者。黑莓曾是一家主导移动行业的科技巨头。该攻击者针对多家高净值墨西哥银行和加密货币交易所。攻击者可能意图窃取超过 1 亿美元的总收入,这一统计数据由威胁模式预测得出。
攻击目标是谁?
根据黑莓的分析,攻击目标不受行业限制,攻击者主要关注大型企业——其中许多企业的年总收入超过 1 亿美元。黑莓进一步追踪了攻击者针对的零售、农业、制造、运输、公共部门、商业服务、资本货物和银行等行业的公司。每次诱饵都利用了声誉良好且安全的墨西哥政府资源,例如由墨西哥社会保障研究所运营的支付机制。
黑莓发现,一款名为 AllaKore RAT 的开源远程访问工具被用来窃取银行和加密货币交易公司的机密用户数据。通过隐藏在合法的命名方案和链接背后,该威胁经常通过在企业运营的系统和数据库中安装程序来绕过员工的怀疑。
大多数攻击溯源到墨西哥 Starlink 拥有的 IP 地址。黑莓还得出的结论是,由于修改后的 RAT 载荷使用了西班牙语编写的指令,该威胁行为者总部位于拉丁美洲。
该威胁行为者至少自 2021 年底以来一直针对墨西哥公司。一个名为FIN13、以墨西哥为重点的威胁行为者是 2021 年 12 月美国网络安全公司 Mandiant 发布的一份调查报告的主题。根据该研究,仅有两个威胁行为者长时间地针对单一国家。在所提到的组织中,仅 14 个在一年多后仍出于经济动机。该威胁行为者通过特别关注特定地区并表现出行动的持久性而脱颖而出。
什么是 AllaKore RAT?
AllaKore RAT是一款简单的开源远程访问工具。它于 2015 年首次被发现,2023 年 5 月,威胁组织 SideCopy 利用它渗透了特定地区的公司。AllaKore 功能强大,能够上传和下载文件、记录键盘输入、截取屏幕截图,甚至远程控制受害者的计算机。
最新版本的 AllaKore RAT 安装过程更为复杂;该程序以微软软件安装程序文件的形式发送给目标。该恶意软件只有在验证受害者位于墨西哥后才会开始工作。
黑莓的报告解释道:“AllaKore RAT 载荷经过了大量修改,以便威胁行为者将窃取的银行凭证和唯一身份验证信息回传至命令与控制(C2)服务器,用于金融欺诈目的。”
另请阅读:智能设备的网络安全风险:综合指南