Ομάδα Άπληστων Σφουγγαριών
Μεξικανικοί οργανισμοί συνεχίζουν να αντιμετωπίζουν κυβερνοεπιθέσεις από μια οικονομικά κίνητρα ομάδα γνωστή ως Greedy Sponge, η οποία αξιοποιεί τροποποιημένες παραλλαγές των AllaKore RAT και SystemBC. Ενεργή από τις αρχές του 2021, αυτή η εκστρατεία δεν κάνει διακρίσεις στην επιλογή στόχων, επηρεάζοντας κλάδους που κυμαίνονται από το λιανικό εμπόριο, τη γεωργία και την ψυχαγωγία έως τη μεταποίηση, τις μεταφορές, τις δημόσιες υπηρεσίες, τα κεφαλαιουχικά αγαθά και τις τράπεζες.
Πίνακας περιεχομένων
AllaKore RAT: Ένα εργαλείο για οικονομική απάτη
Το βασικό ωφέλιμο φορτίο, AllaKore RAT , έχει τροποποιηθεί εκτενώς για να καταγράφει ευαίσθητα οικονομικά δεδομένα. Το κακόβουλο λογισμικό είναι προγραμματισμένο να υποκλέπτει τραπεζικά διαπιστευτήρια και μοναδικά στοιχεία ελέγχου ταυτότητας σε έναν διακομιστή Command-and-Control (C2), επιτρέποντας την οικονομική απάτη μεγάλης κλίμακας. Αναφορές για αυτήν την εκστρατεία εμφανίστηκαν για πρώτη φορά τον Ιανουάριο του 2024, αποκαλύπτοντας ότι οι εισβολείς βασίζονται σε ηλεκτρονικό ψάρεμα (phishing) και παραβιάσεις δεδομένων drive-by για τη διάδοση κακόβουλων αρχείων ZIP που έχουν σχεδιαστεί για την ανάπτυξη του AllaKore RAT.
Οι ερευνητές έχουν παρατηρήσει ότι το AllaKore RAT χρησιμοποιείται συχνά για την παροχή του SystemBC , ενός κακόβουλου λογισμικού που βασίζεται σε C και μετατρέπει τα παραβιασμένα μηχανήματα Windows σε proxies SOCKS5, παρέχοντας στους εισβολείς μια ασφαλή σήραγγα επικοινωνίας με την υποδομή C2 τους.
Βελτιωμένες τακτικές εμπορικών τεχνών και γεωφράξεων
Το Greedy Sponge εξελίσσει τις τακτικές του. Μέχρι τα μέσα του 2024, η ομάδα εισήγαγε βελτιωμένες τεχνικές geofencing που στόχευαν στην παρεμπόδιση της εξωτερικής ανάλυσης. Προηγουμένως, οι έλεγχοι geofencing ενσωματώνονταν σε ένα πρόγραμμα λήψης .NET μέσα σε ένα αρχείο εγκατάστασης της Microsoft (MSI) που είχε μολυνθεί με trojan. Τώρα, ο περιορισμός έχει μετακινηθεί στην πλευρά του διακομιστή, διασφαλίζοντας ότι μόνο τα θύματα εντός της στοχευμένης περιοχής του Μεξικού λαμβάνουν το τελικό ωφέλιμο φορτίο.
Τρέχουσα αλυσίδα επίθεσης και παράδοση ωφέλιμου φορτίου
Οι τελευταίες ακολουθίες επιθέσεων παραμένουν συμβατές με προηγούμενες καμπάνιες. Τα κακόβουλα αρχεία ZIP, όπως το 'Actualiza_Policy_v01.zip', περιέχουν τόσο ένα νόμιμο εκτελέσιμο αρχείο proxy Chrome όσο και ένα πρόγραμμα εγκατάστασης MSI που έχει μολυνθεί με trojan. Αυτό το MSI έχει σχεδιαστεί για να καταργεί το AllaKore RAT, το οποίο περιλαμβάνει δυνατότητες όπως:
- Keylogging, λήψη στιγμιότυπων οθόνης και τηλεχειρισμός μολυσμένων συστημάτων
- Μεταφόρτωση και λήψη αρχείων από και προς την υποδομή του εισβολέα
Για να διευκολύνει τη μόλυνση, το MSI αναπτύσσει επίσης ένα πρόγραμμα λήψης .NET, το οποίο ανακτά το RAT από έναν εξωτερικό διακομιστή (manzisuape.com/amw), μαζί με ένα σενάριο PowerShell σχεδιασμένο για την εκτέλεση λειτουργιών καθαρισμού.
Περιφερειακή στόχευση πέρα από το Μεξικό
Ενώ το Μεξικό παραμένει ο κύριος στόχος, παραλλαγές του AllaKore RAT έχουν επίσης χρησιμοποιηθεί σε όλη τη Λατινική Αμερική. Αξίζει να σημειωθεί ότι τον Μάιο του 2024, παρατηρήθηκε μια παραλλαγή γνωστή ως AllaSenha (γνωστή και ως CarnavalHeist) που στόχευε βραζιλιάνικα τραπεζικά ιδρύματα, τα οποία λειτουργούσαν από απειλητικούς φορείς με έδρα τη Βραζιλία.
Άπληστο Σφουγγάρι: Επίμονο αλλά όχι εξελιγμένο
Παρά την επιχειρησιακή της επιμονή για τέσσερα χρόνια, οι ειδικοί κατατάσσουν την Greedy Sponge ως αποτελεσματική αλλά όχι ιδιαίτερα προηγμένη. Η στενή γεωγραφική εστίαση της ομάδας και η αποκλειστική επιδίωξη οικονομικού κέρδους την διαφοροποιούν από τους πιο εξελιγμένους αντιπάλους. Τα αμετάβλητα μοντέλα υποδομών τους και η μακροπρόθεσμη επιτυχία τους δείχνουν ότι η τρέχουσα προσέγγισή τους ήταν σταθερά αποτελεσματική, μειώνοντας την ανάγκη για σημαντικές επιχειρησιακές αλλαγές.
