Група за хакерство Greedy Sponge
Мексиканските организации продължават да се сблъскват с кибератаки от финансово мотивирана група, известна като Greedy Sponge, която използва модифицирани варианти на AllaKore RAT и SystemBC. Активна от началото на 2021 г., тази кампания е безразборна в избора си на цели, засягайки индустрии, вариращи от търговия на дребно, селско стопанство и развлечения до производство, транспорт, обществени услуги, капиталови стоки и банково дело.
Съдържание
AllaKore RAT: Инструмент за финансови измами
Основният полезен товар, AllaKore RAT , е значително променен, за да улавя чувствителни финансови данни. Зловредният софтуер е програмиран да извлича банкови идентификационни данни и уникални данни за удостоверяване към сървър за командване и контрол (C2), което позволява мащабни финансови измами. Съобщения за тази кампания се появиха за първи път през януари 2024 г., разкривайки, че нападателите разчитат на фишинг и drive-by компромети, за да разпространяват злонамерени ZIP архиви, предназначени за внедряване на AllaKore RAT.
Изследователи са наблюдавали, че AllaKore RAT често се използва за доставяне на SystemBC , зловреден софтуер, базиран на C, който преобразува компрометирани машини с Windows в SOCKS5 проксита, предоставяйки на нападателите защитен комуникационен тунел към тяхната C2 инфраструктура.
Усъвършенствани тактики за търговски занаяти и геозониране
Greedy Sponge развива тактиките си. До средата на 2024 г. групата въведе подобрени техники за геозониране, насочени към осуетяване на външен анализ. Преди това проверките за геозониране бяха вградени в .NET файл за изтегляне в рамките на троянски инсталатор на Microsoft (MSI) файл. Сега ограничението е преместено от страна на сървъра, което гарантира, че само жертвите в целевия мексикански регион получават крайния полезен товар.
Текуща верига на атака и доставка на полезен товар
Последните атакуващи последователности остават съвместими с по-ранни кампании. Злонамерени ZIP файлове, като например „Actualiza_Policy_v01.zip“, съдържат както легитимен изпълним прокси файл на Chrome, така и инсталатор на MSI, заразен с троянски кон. Този MSI е проектиран да премахва AllaKore RAT, който включва възможности като:
- Кейлогинг, заснемане на екранни снимки и дистанционно управление на заразени системи
- Качване и изтегляне на файлове към и от инфраструктурата на нападателя
За да улесни инфекцията, MSI също така разполага с .NET програма за изтегляне, която извлича RAT файла от външен сървър (manzisuape.com/amw), заедно със PowerShell скрипт, предназначен за извършване на операции по почистване.
Регионално таргетиране извън Мексико
Въпреки че Мексико остава основната цел, варианти на AllaKore RAT са използвани и в цяла Латинска Америка. Забележително е, че през май 2024 г. е наблюдаван вариант, известен като AllaSenha (известен още като CarnavalHeist), насочен към бразилски банкови институции, управлявани от хакери, родом от Бразилия.
Алчна гъба: Упорита, но не и изтънчена
Въпреки оперативната си устойчивост в продължение на четири години, експертите класифицират Greedy Sponge като ефективна, но не особено напреднала. Тесният географски фокус на групата и изключителното стремеж към финансова печалба я отличават от по-сложните противници. Непроменените им инфраструктурни модели и дългосрочният им успех показват, че настоящият им подход е бил постоянно ефективен, намалявайки необходимостта от значителни оперативни промени.
