Meksikalı kuruluşlar, uzun süredir devam eden bir kampanyanın bir parçası olarak Allakore Rat ve SystemBC’nin değiştirilmiş bir versiyonunu sunmaları için tehdit aktörleri tarafından hedefleniyor.
Etkinlik, Arctic Wolf Labs tarafından finansal olarak motive olmuş bir hack grubuna atfedildi. Açgözlü sünger. Perakende, tarım, kamu sektörü, eğlence, imalat, ulaşım, ticari hizmetler, sermaye malları ve bankacılık gibi çok çeşitli sektörü gelişigüzel hedefleyen 2021’in başından beri aktif olduğuna inanılmaktadır.
Siber güvenlik şirketi, geçen hafta yayınlanan bir analizde, “Allakore sıçan yükü, tehdit aktörlerinin seçkin bankacılık kimlik bilgileri ve benzersiz kimlik doğrulama bilgilerini komut ve kontrol (C2) sunucusuna finansal dolandırıcılık yapmak amacıyla göndermelerini sağlamak için büyük ölçüde değiştirildi.” Dedi.
Kampanyanın detayları ilk olarak Ocak 2024’te Blackberry Araştırma ve İstihbarat Ekibi (şimdi Arktik Kurt’un bir parçası olan) tarafından belgelendi ve sonuçta Allakore Sıçanının konuşlandırılmasını kolaylaştıran bubi sıkışmış fermuar arşivlerini dağıtmak için kimlik avı veya sürüş uzatmaları kullandı.
Arctic Wolf tarafından analiz edilen saldırı zincirleri, uzaktan erişim Trojan’ın isteğe bağlı olarak, saldırganların C2 sunucularıyla iletişim kurmasına izin vermek için tehlikeye atılmış Windows ana bilgisayarlarını SOCKS5 proxy’lerine dönüştüren C tabanlı bir kötü amaçlı yazılım olan SystemBC gibi ikincil yükler sunmak üzere tasarlandığını gösteriyor.
Güçlü proxy araçlarını bırakmanın yanı sıra, açgözlü sünger de, analizleri engellemek amacıyla 2014’ün ortalarından itibaren gelişmiş coğrafi işleme önlemlerini dahil etmek için Tradecraft’ı rafine etti ve güncelledi.
Şirket, “Tarihsel olarak, Meksika bölgesine coğrafi işleme, ilk aşamada, Truva Edici Microsoft Yazılım Yükleyicisi (MSI) dosyasına dahil olan bir .NET indiricisi aracılığıyla gerçekleşti.” Dedi. “Bu, nihai yüke erişimi kısıtlamak için sunucu tarafına taşındı.”
En son yineleme, meşru bir krom proxy yürütülebilir dosyası ve Allakore faresini düşürmek için tasarlanmış bir truva atı MSI dosyası, anahtarlama, ekran görüntüsü kapağı, dosya indirme/yükleme için yetenekleri olan kötü amaçlı yazılımları olan ZIP dosyalarını (“gerçekiza_policy_v01.zip”) dağıtıyor.
MSI dosyası, uzaktan erişim Trojan’ı harici bir sunucudan (“Manzisuape[.]com/amw “) ve temizleme eylemleri için bir PowerShell betiği.
Latin Amerika’yı hedefleyen saldırılarda Allakore Rat ilk kez kullanılmadı. Mayıs 2024’te Harfanglab ve Cisco Talos, Allasenha (AKA Carnavalheist olarak bilinen) olarak bilinen bir Allakore varyantının, ülkeden gelen tehdit aktörleri tarafından Brezilya bankacılık kurumlarını seçmek için kullanıldığını açıkladı.
Arctic Wolf, “Bu dört yıl artı aktif olarak Meksikalı varlıkları hedefleyerek geçirdikten sonra, bu tehdit oyuncusu ısrarlı, ancak özellikle gelişmiş olarak göreceğiz.” Dedi. Diyerek şöyle devam etti: “Bu aktörün kesinlikle finansal motivasyonu, sınırlı coğrafi hedeflemeleriyle birleşti.”
“Ayrıca, operasyonel uzun ömürlülükleri olası operasyonel başarıya işaret ediyor – yani onlar için işe yarayan bir şey buldular ve ona bağlı kalıyorlar. Açgözlü sünger, kampanyaları boyunca aynı altyapı modellerini tuttu.”
 |
| Hayalet Crypt kullanarak kampanyanın saldırı akışı |
Geliştirme, Esentire, Purerat’ı teslim etmek ve çalıştırmak için Hayalet Crypt olarak bilinen yeni bir Crypter olarak sunulan Mayıs 2025 kimlik avı kampanyasını detaylandırıyor.
Kanada şirketi, “Tehdit oyuncusu yeni bir müşteriyi taklit ettiği ve kötü amaçlı fermuar dosyaları içeren bir Zoho Workdrive klasörüne bağlantı içeren bir PDF gönderdiği sosyal mühendislik aracılığıyla ilk erişim elde edildi.” “Saldırgan ayrıca kurbanı arayarak ve dosyayı hemen çıkarmalarını ve yürütmelerini isteyerek acil bir his yarattı.”
Saldırı zincirinin daha fazla incelenmesi, kötü niyetli dosyanın, daha sonra Truva atı (yani DLL) işlem hipnoz enjeksiyonu adı verilen bir teknik kullanılarak meşru bir Windows CSC.EXE işlemine çıkaran ve enjekte eden hayalet kript ile şifrelenmiş bir DLL yükü içerdiğini ortaya koymuştur.
İlk olarak 15 Nisan 2025’te siber suç forumlarında isimsiz bir tehdit oyuncusu tarafından ilan edilen Ghost Crypt, Microsoft Defender antivirüsünü atlama ve Lumma, Rhadmanthys, Stealc, Blueloader, Pureloader gibi birkaç çalma, yükleyici ve truva atanlarına hizmet etme yeteneği sunuyor.
Keşif ayrıca, JavaScript dosyası lures yoluyla dağıtılan Neptune Rat’ın (diğer adıyla Masonrat) yeni bir versiyonunun ortaya çıkışını izliyor, tehdit aktörlerinin hassas verileri çıkarmasına, ekran görüntüleri, günlük tuş vuruşları almasına, klipser kötü amaçlı yazılımları bırakmasına ve ek DLL yükleri indirmesine izin veriyor.
Son aylarda, siber saldırılar, daha sonra Redline Information Stealer’ı sağlayan Hijack Loader (AKA Idat Loader) için bir kanal görevi gören kötü amaçlı Inno kurulum montajcılarını kullandı.
Saldırı, “Inno Setup’un Pascal komut dosyası, bir sonraki aşamalı yükü tehlikeye atılmış veya hedeflenmiş bir ana bilgisayarda almak ve yürütmek için kullanıyor” dedi. “Bu teknik, benzer bir enfeksiyon paternini takip eden D3F@CK Loader adlı iyi bilinen bir kötü amaçlı Inno kurulum yükleyici tarafından kullanılan yaklaşıma çok benziyor.”