AllaKore RAT یک ابزار دسترسی از راه دور مبتنی بر دلفی و منبعباز است که حداقل از سال 2013 شناخته شده است و اخیراً توسط گروه تهدید معروف به SideCopy در ماه مه 2023 برای نفوذ به سازمان ها در یک منطقه جغرافیایی خاص مورد استفاده قرار گرفت. این بدافزار دارای قابلیت های مختلفی از جمله keylogging، گرفتن اسکرین شات، اجرای Revere Shell، دانلود و اجرای باینری های مخرب است. در آخرین فعالیت این گروه شاهد یک کمپین طولانی مدت با هدف قرار دادن نهاد های مکزیکی با درآمد های کلان ( 100 میلیون دلار) بودیم. این کمپین از سال 2021 از زیر ساخت قابل شناسایی C2 استفاده می کند و هنوز مختل نشده است. این بدافزار از تکنیک Drive by Compromise برای گرفتن دسترسی اولیه استفاده می کند. یک فایل ZIP تحویل قربانی داده می شود که که حاوی یک فایل نصب کننده MSI است که یک دانلود کننده NET. است که مسئول تایید مکان جغرافیایی قربانی و دانلود بدافزار Allakore RAT است.
آدرس uplayground [.] بهعنوان دامنهای استفاده میشد که از اواخر سال 2021 تا اواسط سال 2022 فعال بود. آدرس registrauser.php در ابتدا به عنوان سرور AllaKore استفاده می شد. آدرس license.txt بهعنوان مکان بهروزرسانی استفاده میشود و همیشه به آخرین نسخه RAT اشاره میکند. اکثر سرورهای مورد استفاده در این کمپین از طریق Hostwinds خریداری می شوند، در حالی که دامنه ها از طریق eNom LLC ثبت می شوند. Allakora برای ارتباط با C2 سرور از Express-vpn، Mulllvad-vpn و از Stralink IP استفاده می کند. پس از بررسی Starlink IP های واقع در مکزیک این احتمال وجود دارد که موقعیت جغرافیایی عامل تهدید احتمالاً آمریکای لاتین است. هدف این گروه نسبت به صنعت بیتفاوت است، زیرا نهادهای مختلف را در صنایع خردهفروشی، کشاورزی، بخش عمومی، تولید، حملونقل، خدمات بازرگانی، کالاهای سرمایهای، و صنایع بانکی مشاهده شده است. بازیگران بیشتر به شرکت های بزرگ علاقه مند هستند که بسیاری از آنها درآمد ناخالص آنها بیش از 100 میلیون دلار است، زیرا فیشینگ های مورد استفاده فقط برای شرکت هایی کار می کنند که به اندازه کافی بزرگ هستند که مستقیماً به بخش IMSS دولت مکزیک گزارش دهند.
این عامل تهدید به طور مداوم نهادهای مکزیکی را برای اهداف مالی هدف قرار داده است. این فعالیت بیش از دو سال است که ادامه دارد و هیچ نشانهای از توقف دیده نمیشود.
راه هایی برای کاهش این خطر پذیری
- عدم کلیک بر روی لینکهای موجود در ایمیلهای مشکوک
- عدم دانلود برنامهها از منابع مشکوک
- نظارت بر پروسسهای در حال اجرا
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده پروسسهای مشکوک در حال اجرا
- مشاهده ترافیک غیرعادی در شبکه
- مشاهده فعالیتهای بدافزار AllaKore RAT
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Exec= ution | Defe= nse Evasion | Coll= ection | Comm= and And Control | Exfi= ltration |
| Dr= ive-by Compromise | AppleScript | Access Token Manipulation | Audio Capture | Commonly Used Port | Automated Exfiltration |
| Ex= ploit Public-Facing Application | CMSTP | Binary Padding | Automated Collection | Communication Through Removable Media<= /td> | Data Compressed |
| Ex= ternal Remote Services | Command-Line Interface | BITS Jobs | Clipboard Data | Connection Proxy | Data Encrypted |
| Ha= rdware Additions | Compiled HTML File | Bypass User Account Control | Data from Information Repositories | Custom Command and Control Protocol | Data Transfer Size Limits |
| Re= plication Through Removable Media | Component Object Model and Distributed= COM | Clear Command History | Data from Local System | Custom Cryptographic Protocol | Exfiltration Over Alternative Protocol= |
| Sp= earphishing Attachment | Control Panel Items | CMSTP | Data from Network Shared Drive | Data Encoding | Exfiltration Over Command and Control = Channel |
| Sp= earphishing Link | Dynamic Data Exchange | Code Signing | Data from Removable Media | Data Obfuscation | Exfiltration Over Other Network Medium= |
| Sp= earphishing via Service | Execution through API | Compile After Delivery | Data Staged | Domain Fronting | Exfiltration Over Physical Medium |
| Su= pply Chain Compromise | Execution through Module Load | Compiled HTML File | Email Collection | Domain Generation Algorithms | Scheduled Transfer |
| Tr= usted Relationship | Exploitation for Client Execution | Component Firmware | Input Capture | Ingress Tool Transfer | |
| Va= lid Accounts | Graphical User Interface | Component Object Model Hijacking | Man in the Browser | Multi-hop Proxy | |
| InstallUtil | Connection Proxy | Screen Capture | Multi-Stage Channels | ||
| Launchctl | Control Panel Items | Video Capture | Multiband Communication | ||
| Local Job Scheduling | DCShadow | Multilayer Encryption | |||
| LSASS Driver | Deobfuscate/Decode Files or Informatio= n | Port Knocking | |||
| Mshta | Disabling Security Tools | Remote Access Tools | |||
| PowerShell | DLL Search Order Hijacking | Remote File Copy | |||
| Regsvcs/Regasm | DLL Side-Loading | Standard Application Layer Protocol | |||
| Regsvr32 | Execution Guardrails | Standard Cryptographic Protocol | |||
| Rundll32 | Exploitation for Defense Evasion | Standard Non-Application Layer Protoco= l | |||
| Scheduled Task | Extra Window Memory Injection | Uncommonly Used Port | |||
| Scripting | File and Directory Permissions Modific= ation | Web Service | |||
| Service Execution | File Deletion | ||||
| Signed Binary Proxy Execution | File System Logical Offsets | ||||
| Signed Script Proxy Execution | Gatekeeper Bypass | ||||
| Source | Group Policy Modification | ||||
| Space after Filename | Hidden Files and Directories | ||||
| Third-party Software | Hidden Users | ||||
| Trap | Hidden Window | ||||
| Trusted Developer Utilities | HISTCONTROL | ||||
| User Execution | Image File Execution Options Injection= | ||||
| Windows Management Instrumentation | Indicator Blocking | ||||
| Windows Remote Management | Indicator Removal from Tools | ||||
| XSL Script Processing | Indicator Removal on Host | ||||
| Indirect Command Execution | |||||
| Install Root Certificate | |||||
| InstallUtil | |||||
| Launchctl | |||||
| LC_MAIN Hijacking | |||||
| Masquerading | |||||
| Modify Registry | |||||
| Mshta | |||||
| Msiexec | |||||
| NTFS File Attributes | |||||
| Obfuscated Files or Information | |||||
| Parent PID Spoofing | |||||
| Plist Modification | |||||
| Port Knocking | |||||
| Process Doppelgänging | |||||
| Process Hollowing | |||||
| Process Injection | |||||
| Redundant Access | |||||
| Regsvcs/Regasm | |||||
| Regsvr32 | |||||
| Rootkit | |||||
| Rundll32 | |||||
| Scripting | |||||
| Signed Binary Proxy Execution | |||||
| Signed Script Proxy Execution | |||||
| SIP and Trust Provider Hijacking | |||||
| Software Packing | |||||
| Space after Filename | |||||
| Template Injection | |||||
| Timestomp | |||||
| Trusted Developer Utilities | |||||
| Valid Accounts | |||||
| Virtualization/Sandbox Evasion | |||||
| Web Service | |||||
| XSL Script Processing |