Ahne käsna häkkimise grupp
Mehhiko organisatsioonid seisavad jätkuvalt silmitsi küberrünnakutega rahaliselt motiveeritud rühmituse Greedy Sponge poolt, mis kasutab AllaKore RATi ja SystemBC modifitseeritud variante. See kampaania, mis on aktiivne alates 2021. aasta algusest, on sihtmärkide valikul valimatu, mõjutades tööstusharusid alates jaemüügist, põllumajandusest ja meelelahutusest kuni tootmise, transpordi, avalike teenuste, kapitalikaupade ja panganduseni.
Sisukord
AllaKore RAT: finantspettuste tööriist
Põhilist kasulikku paketti, AllaKore RAT-i , on ulatuslikult muudetud, et jäädvustada tundlikke finantsandmeid. Pahavara on programmeeritud pangandusandmeid ja unikaalseid autentimisandmeid edastama Command-and-Control (C2) serverisse, võimaldades ulatuslikku finantspettust. Selle kampaania kohta ilmusid esmakordselt teated 2024. aasta jaanuaris, paljastades, et ründajad levitavad AllaKore RAT-i juurutamiseks mõeldud pahatahtlikke ZIP-arhiive andmepüügi ja möödasõidurünnakute abil.
Teadlased on täheldanud, et AllaKore RAT-i kasutatakse sageli SystemBC edastamiseks. SystemBC on C-põhine pahavara, mis teisendab ohustatud Windowsi masinad SOCKS5 proxydeks, pakkudes ründajatele turvalist sidetunnelit oma C2-infrastruktuuriga.
Täiustatud kaubandus ja geopiirded
Ahne Sponge on oma taktikat täiustanud. 2024. aasta keskpaigaks võttis rühmitus kasutusele täiustatud geopiirde tehnikad, mille eesmärk oli nurjata välist analüüsi. Varem olid geopiirde kontrollid integreeritud .NET-allalaadijasse troojalase Microsofti installifaili (MSI). Nüüd on piirang viidud serveripoolele, tagades, et ainult Mehhiko sihtpiirkonnas asuvad ohvrid saavad lõpliku sisu.
Praegune rünnakuahel ja kasuliku lasti kohaletoimetamine
Viimased rünnakujärjestused on sarnased varasemate kampaaniatega. Pahatahtlikud ZIP-failid, näiteks „Actualiza_Policy_v01.zip”, sisaldavad nii legitiimset Chrome'i puhverserveri käivitatavat faili kui ka troojalase MSI installifaili. See MSI on loodud AllaKore RAT-i eemaldamiseks, millel on järgmised võimalused:
- Klahvilogimine, ekraanipiltide jäädvustamine ja nakatunud süsteemide kaugjuhtimine
- Failide üles- ja allalaadimine ründaja infrastruktuuri ja sealt
Nakatumise hõlbustamiseks juurutab MSI ka .NET-allalaadija, mis laadib RAT-i väliselt serverilt (manzisuape.com/amw) koos puhastustoimingute tegemiseks mõeldud PowerShelli skriptiga.
Piirkondlik sihtimine väljaspool Mehhikot
Kuigi Mehhiko on endiselt peamine sihtmärk, on AllaKore RAT-i variante kasutatud ka kogu Ladina-Ameerikas. Märkimisväärselt täheldati 2024. aasta mais varianti, mida tuntakse kui AllaSenha (tuntud ka kui CarnavalHeist), mis sihitas Brasiilia pangaasutusi, mida haldavad Brasiilia päritolu ohurühmitused.
Ahne käsn: püsiv, kuid mitte keerukas
Vaatamata sellele, et Greedy Sponge on tegutsenud üle nelja aasta, liigitavad eksperdid ettevõtte tõhusaks, kuid mitte eriti arenenud ettevõtteks. Grupi kitsas geograafiline fookus ja ainuüksi rahalise kasu taotlemine eristavad seda keerukamatest vastastest. Nende muutmata infrastruktuurimudelid ja pikaajaline edu näitavad, et praegune lähenemisviis on olnud järjepidevalt tõhus, vähendades vajadust oluliste operatiivsete muudatuste järele.
