Skupina hackerů Greedy Sponge
Mexické organizace i nadále čelí kybernetickým útokům finančně motivované skupiny známé jako Greedy Sponge, která využívá upravené varianty kybernetických programů AllaKore RAT a SystemBC. Tato kampaň, která je aktivní od začátku roku 2021, si nerozlišuje cíle a ovlivňuje odvětví od maloobchodu, zemědělství a zábavního průmyslu až po výrobu, dopravu, veřejné služby, investiční statky a bankovnictví.
Obsah
AllaKore RAT: Nástroj pro finanční podvody
Základní datová část malwaru AllaKore RAT byla rozsáhle upravena tak, aby zachytávala citlivá finanční data. Malware je naprogramován tak, aby odcizil bankovní přihlašovací údaje a jedinečné ověřovací údaje na server Command-and-Control (C2), což umožňuje rozsáhlé finanční podvody. Zprávy o této kampani se poprvé objevily v lednu 2024 a odhalily, že útočníci se spoléhají na phishing a útoky typu drive-by k šíření škodlivých ZIP archivů určených k nasazení AllaKore RAT.
Výzkumníci pozorovali, že AllaKore RAT se často používá k doručování SystemBC , malwaru založeného na jazyce C, který převádí napadené počítače s Windows na proxy SOCKS5 a poskytuje útočníkům zabezpečený komunikační tunel k jejich infrastruktuře C2.
Vylepšené taktiky obchodu a geofencingu
Greedy Sponge vyvíjí svou taktiku. V polovině roku 2024 skupina zavedla vylepšené techniky geofencingu zaměřené na maření externí analýzy. Dříve byly kontroly geofencingu vloženy do stahovacího programu .NET v souboru instalačního programu Microsoft (MSI) napadeného trojským koněm. Nyní bylo toto omezení přesunuto na stranu serveru, což zajišťuje, že finální datové zatížení obdrží pouze oběti v cílovém mexickém regionu.
Aktuální útočný řetězec a doručení užitečného zatížení
Nejnovější sekvence útoků zůstávají shodné s dřívějšími kampaněmi. Škodlivé soubory ZIP, jako například „Actualiza_Policy_v01.zip“, obsahují legitimní spustitelný soubor proxy prohlížeče Chrome a instalační soubor MSI napadený trojským koněm. Tento soubor MSI je navržen tak, aby odstraňoval vir AllaKore RAT, který obsahuje funkce jako například:
- Keylogging, snímání obrazovky a vzdálená správa infikovaných systémů
- Nahrávání a stahování souborů do a z infrastruktury útočníka
Pro usnadnění infekce MSI také nasazuje .NET downloader, který načítá RAT z externího serveru (manzisuape.com/amw), spolu se skriptem PowerShell určeným k provádění operací čištění.
Regionální cílení mimo Mexiko
Ačkoliv primárním cílem zůstává Mexiko, varianty RAT viru AllaKore byly použity také v celé Latinské Americe. Zejména v květnu 2024 byla pozorována varianta známá jako AllaSenha (známá také jako CarnavalHeist), která cílila na brazilské bankovní instituce provozované útočníky pocházejícími z Brazílie.
Chamtivá houba: Vytrvalá, ale ne sofistikovaná
Přestože Greedy Sponge působila po dobu více než čtyř let, odborníci ji klasifikují jako efektivní, ale ne příliš pokročilou. Úzké geografické zaměření skupiny a její výhradní honba za finančním ziskem ji odlišují od sofistikovanějších protivníků. Jejich nezměněné modely infrastruktury a dlouhodobý úspěch naznačují, že jejich současný přístup je trvale efektivní a snižuje potřebu významných operačních změn.
