Greedy Sponge Hacking Group
لا تزال المنظمات المكسيكية تواجه هجمات إلكترونية من جماعة ذات دوافع مالية تُعرف باسم "الإسفنج الجشع"، والتي تستغل نسخًا معدلة من برنامجي AllaKore RAT وSystemBC. تنشط هذه الحملة منذ أوائل عام 2021، وتتميز باختيار عشوائي للأهداف، حيث تؤثر على قطاعات متنوعة، من تجارة التجزئة والزراعة والترفيه إلى التصنيع والنقل والخدمات العامة والسلع الرأسمالية والخدمات المصرفية.
جدول المحتويات
AllaKore RAT: أداة لمكافحة الاحتيال المالي
تم تعديل الحمولة الأساسية، AllaKore RAT ، بشكل مكثف لالتقاط بيانات مالية حساسة. صُممت البرمجية الخبيثة لاستخراج بيانات اعتماد مصرفية وتفاصيل مصادقة فريدة إلى خادم قيادة وتحكم (C2)، مما يُمكّن من ارتكاب عمليات احتيال مالي واسعة النطاق. ظهرت تقارير عن هذه الحملة لأول مرة في يناير 2024، وكشفت أن المهاجمين يعتمدون على التصيد الاحتيالي والاختراقات غير المباشرة لنشر ملفات ZIP ضارة مصممة لنشر AllaKore RAT.
لاحظ الباحثون أن AllaKore RAT يستخدم غالبًا لتوصيل SystemBC ، وهو برنامج ضار قائم على C يحول أجهزة الكمبيوتر التي تعمل بنظام Windows المخترقة إلى وكلاء SOCKS5، مما يوفر للمهاجمين نفق اتصال آمن إلى البنية التحتية C2 الخاصة بهم.
تكتيكات التجارة المتطورة والجيوفينسينغ
طورت جماعة Greedy Sponge أساليبها. بحلول منتصف عام 2024، قدّمت المجموعة تقنيات تحديد المواقع الجغرافية المُحسّنة بهدف إحباط التحليل الخارجي. في السابق، كانت عمليات التحقق من تحديد المواقع الجغرافية تُدمج في برنامج تنزيل .NET داخل ملف تثبيت Microsoft (MSI) مُصاب بحصان طروادة. الآن، نُقل التقييد إلى جانب الخادم، مما يضمن حصول الضحايا داخل المنطقة المكسيكية المستهدفة فقط على الحمولة النهائية.
سلسلة الهجوم الحالية وتسليم الحمولة
لا تزال تسلسلات الهجمات الأخيرة متسقة مع الحملات السابقة. تحتوي ملفات ZIP الخبيثة، مثل "Actualiza_Policy_v01.zip"، على ملف تنفيذي شرعي لوكيل Chrome ومثبت MSI مُصاب بحصان طروادة. صُمم هذا الملف MSI لإسقاط AllaKore RAT، الذي يتضمن إمكانيات مثل:
- تسجيل لوحة المفاتيح، والتقاط لقطات الشاشة، والتحكم عن بعد في الأنظمة المصابة
- تحميل وتنزيل الملفات من وإلى البنية التحتية للمهاجم
لتسهيل عملية العدوى، يقوم MSI أيضًا بنشر برنامج تنزيل .NET، والذي يقوم بجلب RAT من خادم خارجي (manzisuape.com/amw)، إلى جانب برنامج نصي PowerShell مصمم لإجراء عمليات التنظيف.
الاستهداف الإقليمي خارج المكسيك
بينما تظل المكسيك الهدف الرئيسي، استُخدمت متغيرات AllaKore RAT أيضًا في جميع أنحاء أمريكا اللاتينية. والجدير بالذكر أنه في مايو 2024، رُصد متغير يُعرف باسم AllaSenha (المعروف أيضًا باسم CarnavalHeist) يستهدف مؤسسات مصرفية برازيلية، يديرها جهات تهديد محلية.
الإسفنج الجشع: مستمر ولكن ليس متطورًا
على الرغم من استمرار عملياتها على مدى أربع سنوات، يُصنّف الخبراء جماعة "الإسفنج الجشع" على أنها فعّالة، وإن لم تكن متطورة للغاية. يُميّزها تركيزها الجغرافي الضيق وسعيها الحصري لتحقيق المكاسب المالية عن خصومها الأكثر تطورًا. وتشير نماذج بنيتها التحتية الثابتة ونجاحها على المدى الطويل إلى أن نهجها الحالي كان فعالًا باستمرار، مما قلّل من الحاجة إلى تغييرات عملياتية كبيرة.
