Ahne sienihakkerointiryhmä

Meksikolaiset organisaatiot kohtaavat edelleen kyberhyökkäyksiä taloudellisesti motivoituneen Greedy Sponge -ryhmän taholta, joka hyödyntää AllaKore RAT:n ja SystemBC:n muunneltuja variantteja. Vuoden 2021 alusta lähtien aktiivinen kampanja on valinnut kohteitaan valikoivasti ja vaikuttaa eri toimialoihin vähittäiskaupasta, maataloudesta ja viihteestä valmistukseen, liikenteeseen, julkisiin palveluihin, pääomahyödykkeisiin ja pankkitoimintaan.

AllaKore RAT: Työkalu talouspetoksiin

Ydinhyötyohjelmaa, AllaKore RATia , on muutettu laajasti arkaluonteisten taloustietojen kaappaamiseksi. Haittaohjelma on ohjelmoitu siirtämään pankkitunnuksia ja yksilöllisiä todennustietoja komento- ja hallintapalvelimelle (C2), mikä mahdollistaa laajamittaiset talouspetokset. Ensimmäiset raportit tästä kampanjasta tulivat esiin tammikuussa 2024, ja ne paljastivat, että hyökkääjät käyttävät tietojenkalasteluhyökkäyksiä ja ohiajamiseen tarkoitettuja tietomurtoja levittääkseen haitallisia ZIP-arkistoja, joiden tarkoituksena on käyttää AllaKore RATia.

Tutkijat ovat havainneet, että AllaKore RAT -haittaohjelmaa käytetään usein SystemBC:n , C-pohjaisen haittaohjelman, levittämiseen. SystemBC muuntaa vaarantuneet Windows-koneet SOCKS5-välityspalvelimiksi ja tarjoaa hyökkääjille turvallisen tietoliikennetunnelin C2-infrastruktuuriinsa.

Hienostunutta kaupankäyntiä ja geoaitaustaktiikkaa

Greedy Sponge on kehittänyt taktiikkaansa. Vuoden 2024 puoliväliin mennessä ryhmä otti käyttöön parannetut geoaitaustekniikat, joiden tarkoituksena on estää ulkoiset analyysit. Aiemmin geoaitaustarkistukset oli upotettu .NET-latausohjelmaan troijalaisen Microsoftin asennustiedoston (MSI) sisällä. Nyt rajoitus on siirretty palvelinpuolelle, mikä varmistaa, että vain kohdealueen Meksikossa olevat uhrit saavat lopullisen hyötykuorman.

Nykyinen hyökkäysketju ja hyötykuorman toimitus

Uusimmat hyökkäyssekvenssit ovat yhdenmukaisia aiempien kampanjoiden kanssa. Haitalliset ZIP-tiedostot, kuten 'Actualiza_Policy_v01.zip', sisältävät sekä laillisen Chrome-välityspalvelimen suoritettavan tiedoston että troijalaisen MSI-asennusohjelman. Tämä MSI on suunniteltu poistamaan AllaKore RAT -hyökkäyksen, jolla on ominaisuuksia, kuten:

• Näppäinpainallusten tallentaminen, kuvakaappausten ottaminen ja tartunnan saaneiden järjestelmien etähallinta
• Tiedostojen lataaminen hyökkääjän infrastruktuuriin ja sieltä pois

Tartunnan helpottamiseksi MSI ottaa käyttöön myös .NET-latausohjelman, joka noutaa RAT-tiedoston ulkoiselta palvelimelta (manzisuape.com/amw), sekä PowerShell-skriptin, joka on suunniteltu suorittamaan puhdistustoimintoja.

Alueellinen kohdentaminen Meksikon ulkopuolella

Vaikka Meksiko on edelleen ensisijainen kohde, AllaKore RAT -variantteja on käytetty myös Latinalaisessa Amerikassa. Merkittävää on, että toukokuussa 2024 havaittiin AllaSenha-niminen variantti (eli CarnavalHeist), jonka kohteena olivat brasilialaiset pankkilaitokset. Hyökkäyksen kohteena olivat Brasiliasta kotoisin olevat uhkatoimijat.

Ahne sieni: Sinnikäs mutta ei hienostunut

Vaikka Greedy Sponge on toiminut yli neljä vuotta, asiantuntijat luokittelevat sen tehokkaaksi mutta ei kovin edistyneeksi. Ryhmän kapea maantieteellinen keskittyminen ja yksinomainen taloudellisen voiton tavoittelu erottavat sen kehittyneemmistä kilpailijoista. Heidän muuttumattomat infrastruktuurimallinsa ja pitkän aikavälin menestyksensä osoittavat, että heidän nykyinen lähestymistapansa on ollut johdonmukaisesti tehokas, mikä vähentää merkittävien operatiivisten muutosten tarvetta.