Greedy Sponge Hacking Group

মেক্সিকান প্রতিষ্ঠানগুলি লোভী স্পঞ্জ নামে পরিচিত একটি আর্থিকভাবে অনুপ্রাণিত গোষ্ঠীর সাইবার আক্রমণের মুখোমুখি হচ্ছে, যারা AllaKore RAT এবং SystemBC-এর পরিবর্তিত রূপগুলিকে কাজে লাগাচ্ছে। ২০২১ সালের গোড়ার দিকে থেকে সক্রিয়, এই প্রচারণাটি লক্ষ্যবস্তু নির্বাচনের ক্ষেত্রে নির্বিচারে কাজ করছে, যা খুচরা, কৃষি এবং বিনোদন থেকে শুরু করে উৎপাদন, পরিবহন, জনসেবা, মূলধনী পণ্য এবং ব্যাংকিং পর্যন্ত শিল্পগুলিকে প্রভাবিত করছে।

আল্লাকোর র‍্যাট: আর্থিক জালিয়াতির একটি হাতিয়ার

সংবেদনশীল আর্থিক তথ্য সংগ্রহের জন্য মূল পেলোড, AllaKore RAT , ব্যাপকভাবে পরিবর্তন করা হয়েছে। ম্যালওয়্যারটি ব্যাংকিং শংসাপত্র এবং অনন্য প্রমাণীকরণের বিবরণ একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে ছড়িয়ে দেওয়ার জন্য প্রোগ্রাম করা হয়েছে, যা বৃহৎ আকারের আর্থিক জালিয়াতি সক্ষম করে। এই প্রচারণার প্রতিবেদনগুলি প্রথম ২০২৪ সালের জানুয়ারিতে প্রকাশিত হয়েছিল, যেখানে প্রকাশ করা হয়েছিল যে আক্রমণকারীরা AllaKore RAT স্থাপনের জন্য ডিজাইন করা দূষিত জিপ আর্কাইভ ছড়িয়ে দেওয়ার জন্য ফিশিং এবং ড্রাইভ-বাই আপসগুলির উপর নির্ভর করে।

গবেষকরা লক্ষ্য করেছেন যে AllaKore RAT প্রায়শই SystemBC সরবরাহ করতে ব্যবহৃত হয়, এটি একটি C-ভিত্তিক ম্যালওয়্যার যা ক্ষতিগ্রস্ত উইন্ডোজ মেশিনগুলিকে SOCKS5 প্রক্সিতে রূপান্তর করে, আক্রমণকারীদের তাদের C2 অবকাঠামোতে একটি নিরাপদ যোগাযোগ টানেল প্রদান করে।

পরিমার্জিত ট্রেডক্রাফ্ট এবং জিওফেন্সিং কৌশল

লোভী স্পঞ্জ তার কৌশলগুলি বিকশিত করছে। ২০২৪ সালের মাঝামাঝি সময়ে, গ্রুপটি বহিরাগত বিশ্লেষণকে ব্যর্থ করার লক্ষ্যে উন্নত জিওফেন্সিং কৌশল চালু করে। পূর্বে, জিওফেন্সিং চেকগুলি একটি ট্রোজানাইজড মাইক্রোসফ্ট ইনস্টলার (MSI) ফাইলের মধ্যে একটি .NET ডাউনলোডারে এমবেড করা হত। এখন, সীমাবদ্ধতাটি সার্ভার-সাইডে স্থানান্তরিত করা হয়েছে, যাতে লক্ষ্যবস্তুযুক্ত মেক্সিকান অঞ্চলের মধ্যে শুধুমাত্র ক্ষতিগ্রস্থরা চূড়ান্ত পেলোড পান।

বর্তমান অ্যাটাক চেইন এবং পেলোড ডেলিভারি

সাম্প্রতিক আক্রমণের ক্রমগুলি পূর্ববর্তী প্রচারণার সাথে সামঞ্জস্যপূর্ণ। 'Actualiza_Policy_v01.zip'-এর মতো ক্ষতিকারক জিপ ফাইলগুলিতে একটি বৈধ Chrome প্রক্সি এক্সিকিউটেবল এবং একটি ট্রোজানাইজড MSI ইনস্টলার উভয়ই থাকে। এই MSIটি AllaKore RAT ড্রপ করার জন্য তৈরি করা হয়েছে, যার মধ্যে রয়েছে নিম্নলিখিত ক্ষমতাগুলি:

• সংক্রামিত সিস্টেমের কীলগিং, স্ক্রিনশট ক্যাপচার এবং রিমোট কন্ট্রোল
• আক্রমণকারীর পরিকাঠামোতে এবং সেখান থেকে ফাইল আপলোড এবং ডাউনলোড করা

সংক্রমণ সহজতর করার জন্য, MSI একটি .NET ডাউনলোডারও স্থাপন করে, যা একটি বহিরাগত সার্ভার (manzisuape.com/amw) থেকে RAT সংগ্রহ করে, এবং ক্লিনআপ অপারেশন সম্পাদনের জন্য ডিজাইন করা একটি PowerShell স্ক্রিপ্টও ব্যবহার করে।

মেক্সিকো ছাড়িয়ে আঞ্চলিক লক্ষ্যবস্তু

যদিও মেক্সিকো প্রাথমিক লক্ষ্যবস্তুতে রয়ে গেছে, অ্যালাকোর র‍্যাট ভেরিয়েন্টগুলিও ল্যাটিন আমেরিকা জুড়ে ব্যবহার করা হয়েছে। উল্লেখযোগ্যভাবে, ২০২৪ সালের মে মাসে, অ্যালাসেনহা (ওরফে কার্নাভালহাইস্ট) নামে পরিচিত একটি ভেরিয়েন্ট ব্রাজিলিয়ান ব্যাংকিং প্রতিষ্ঠানগুলিকে লক্ষ্য করে লক্ষ্য করা গেছে, যেগুলি ব্রাজিলের স্থানীয় হুমকিদাতাদের দ্বারা পরিচালিত হয়েছিল।

লোভী স্পঞ্জ: অবিচল কিন্তু পরিশীলিত নয়

চার বছর ধরে এর কর্মক্ষমতা অব্যাহত থাকা সত্ত্বেও, বিশেষজ্ঞরা লোভী স্পঞ্জকে কার্যকর কিন্তু খুব বেশি উন্নত নয় বলে শ্রেণীবদ্ধ করেন। গ্রুপটির সংকীর্ণ ভৌগোলিক মনোযোগ এবং আর্থিক লাভের একচেটিয়া সাধনা এটিকে আরও পরিশীলিত প্রতিপক্ষ থেকে আলাদা করে। তাদের অপরিবর্তিত অবকাঠামো মডেল এবং দীর্ঘমেয়াদী সাফল্য ইঙ্গিত দেয় যে তাদের বর্তমান পদ্ধতি ধারাবাহিকভাবে কার্যকর হয়েছে, যা উল্লেখযোগ্য কর্মক্ষম পরিবর্তনের প্রয়োজনীয়তা হ্রাস করে।