Grådig Sponge Hacking Group
Mexicanske organisationer står fortsat over for cyberangreb fra en økonomisk motiveret gruppe kendt som Greedy Sponge, der udnytter modificerede varianter af AllaKore RAT og SystemBC. Denne kampagne, der har været aktiv siden begyndelsen af 2021, er vilkårlig i sit valg af mål og påvirker brancher lige fra detailhandel, landbrug og underholdning til produktion, transport, offentlige tjenester, kapitalgoder og bankvirksomhed.
Indholdsfortegnelse
AllaKore RAT: Et værktøj til økonomisk svindel
Kerne-nyttelasten, AllaKore RAT , er blevet omfattende ændret for at indsamle følsomme finansielle data. Malwaren er programmeret til at udpresse bankoplysninger og unikke godkendelsesoplysninger til en Command-and-Control (C2)-server, hvilket muliggør storstilet økonomisk svindel. Rapporter om denne kampagne dukkede først op i januar 2024 og afslørede, at angriberne bruger phishing og drive-by-angreb til at sprede ondsindede ZIP-arkiver designet til at implementere AllaKore RAT.
Forskere har observeret, at AllaKore RAT ofte bruges til at levere SystemBC , en C-baseret malware, der konverterer kompromitterede Windows-maskiner til SOCKS5-proxyer, hvilket giver angriberne en sikker kommunikationstunnel til deres C2-infrastruktur.
Forfinede håndværks- og geofencing-taktikker
Greedy Sponge har udviklet sine taktikker. I midten af 2024 introducerede gruppen forbedrede geofencing-teknikker, der havde til formål at forhindre ekstern analyse. Tidligere var geofencing-kontroller integreret i en .NET-downloader i en trojanerbesat Microsoft-installationsfil (MSI). Nu er begrænsningen flyttet til serversiden, hvilket sikrer, at kun ofre i den målrettede mexicanske region modtager den endelige nyttelast.
Nuværende angrebskæde og levering af nyttelast
De seneste angrebssekvenser forbliver i overensstemmelse med tidligere kampagner. Ondsindede ZIP-filer, såsom 'Actualiza_Policy_v01.zip', indeholder både en legitim eksekverbar Chrome-proxyfil og et trojanerbaseret MSI-installationsprogram. Denne MSI er konstrueret til at fjerne AllaKore RAT, hvilket inkluderer funktioner som:
- Keylogging, skærmbilledeoptagelse og fjernstyring af inficerede systemer
- Upload og download af filer til og fra angriberens infrastruktur
For at lette infektionen implementerer MSI også en .NET-downloader, som henter RAT'en fra en ekstern server (manzisuape.com/amw), sammen med et PowerShell-script designet til at udføre oprydningsoperationer.
Regional målretning ud over Mexico
Mens Mexico fortsat er det primære mål, er AllaKore RAT-varianter også blevet brugt i hele Latinamerika. Især blev en variant kendt som AllaSenha (også kendt som CarnavalHeist) observeret i maj 2024 rettet mod brasilianske bankinstitutioner, der drives af trusselsaktører med hjem fra Brasilien.
Grådig svamp: Vedholdende, men ikke sofistikeret
Trods dens operationelle vedholdenhed i over fire år klassificerer eksperter Greedy Sponge som effektiv, men ikke særlig avanceret. Gruppens snævre geografiske fokus og eksklusive stræben efter økonomisk gevinst adskiller den fra mere sofistikerede modstandere. Deres uændrede infrastrukturmodeller og langsigtede succes indikerer, at deres nuværende tilgang har været konsekvent effektiv, hvilket reducerer behovet for betydelige operationelle ændringer.
