گروه هکری حریص اسفنجی

سازمان‌های مکزیکی همچنان با حملات سایبری از سوی گروهی با انگیزه‌های مالی به نام Greedy Sponge مواجه هستند که از انواع اصلاح‌شده‌ی AllaKore RAT و SystemBC استفاده می‌کند. این کمپین که از اوایل سال ۲۰۲۱ فعال است، در انتخاب اهداف خود بی‌تفاوت نیست و صنایع مختلفی از خرده‌فروشی، کشاورزی و سرگرمی گرفته تا تولید، حمل‌ونقل، خدمات عمومی، کالاهای سرمایه‌ای و بانکداری را تحت تأثیر قرار می‌دهد.

AllaKore RAT: ابزاری برای کلاهبرداری مالی

بار داده اصلی، AllaKore RAT ، به طور گسترده برای جمع‌آوری داده‌های حساس مالی تغییر داده شده است. این بدافزار طوری برنامه‌ریزی شده است که اطلاعات بانکی و جزئیات احراز هویت منحصر به فرد را به یک سرور فرماندهی و کنترل (C2) منتقل کند و کلاهبرداری مالی در مقیاس بزرگ را امکان‌پذیر سازد. گزارش‌های مربوط به این کمپین برای اولین بار در ژانویه 2024 منتشر شد و نشان داد که مهاجمان برای انتشار آرشیوهای ZIP مخرب که برای استقرار AllaKore RAT طراحی شده‌اند، به فیشینگ و حملات ناخواسته متکی هستند.

محققان مشاهده کرده‌اند که AllaKore RAT اغلب برای ارائه SystemBC ، یک بدافزار مبتنی بر C که دستگاه‌های ویندوزی آسیب‌پذیر را به پروکسی‌های SOCKS5 تبدیل می‌کند، استفاده می‌شود و یک تونل ارتباطی امن به زیرساخت C2 برای مهاجمان فراهم می‌کند.

تاکتیک‌های پیشرفته‌ی ترید کرفت و ژئوفنسینگ

Greedy Sponge تاکتیک‌های خود را تکامل داده است. تا اواسط سال ۲۰۲۴، این گروه تکنیک‌های پیشرفته‌ی geofencing را با هدف خنثی کردن تحلیل‌های خارجی معرفی کرد. پیش از این، بررسی‌های geofencing در یک دانلودکننده‌ی .NET در یک فایل نصب‌کننده‌ی تروجان‌شده‌ی مایکروسافت (MSI) جاسازی می‌شدند. اکنون، این محدودیت به سمت سرور منتقل شده است و تضمین می‌کند که فقط قربانیانی که در منطقه‌ی مکزیک هدف قرار دارند، payload نهایی را دریافت کنند.

زنجیره حمله فعلی و تحویل بار داده

توالی حملات اخیر با کمپین‌های قبلی سازگار است. فایل‌های ZIP مخرب، مانند 'Actualiza_Policy_v01.zip'، حاوی یک فایل اجرایی پروکسی کروم قانونی و یک نصب‌کننده MSI آلوده به تروجان هستند. این MSI برای نصب AllaKore RAT طراحی شده است که شامل قابلیت‌هایی مانند موارد زیر است:

• کی‌لاگر، ضبط اسکرین‌شات و کنترل از راه دور سیستم‌های آلوده
• آپلود و دانلود فایل‌ها به/از زیرساخت مهاجم

برای تسهیل فرآیند آلودگی، MSI همچنین یک دانلودکننده‌ی .NET را مستقر می‌کند که RAT را از یک سرور خارجی (manzisuape.com/amw) به همراه یک اسکریپت PowerShell که برای انجام عملیات پاکسازی طراحی شده است، دریافت می‌کند.

هدف‌گذاری منطقه‌ای فراتر از مکزیک

در حالی که مکزیک همچنان هدف اصلی است، گونه‌های AllaKore RAT نیز در سراسر آمریکای لاتین مورد استفاده قرار گرفته‌اند. نکته قابل توجه این است که در ماه مه 2024، گونه‌ای از آن که با نام AllaSenha (معروف به CarnavalHeist) شناخته می‌شود، مؤسسات بانکی برزیل را که توسط عوامل تهدید بومی برزیل اداره می‌شوند، هدف قرار داد.

اسفنج حریص: سمج اما نه پیچیده

با وجود تداوم عملیاتی آن در طول چهار سال، کارشناسان Greedy Sponge را به عنوان یک گروه مؤثر اما نه چندان پیشرفته طبقه‌بندی می‌کنند. تمرکز جغرافیایی محدود این گروه و پیگیری انحصاری منافع مالی، آن را از دشمنان پیچیده‌تر متمایز می‌کند. مدل‌های زیرساختی بدون تغییر و موفقیت بلندمدت آنها نشان می‌دهد که رویکرد فعلی آنها به طور مداوم مؤثر بوده و نیاز به تغییرات عملیاتی قابل توجه را کاهش می‌دهد.