הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) קבוצת פריצה לספוג חמדן

קבוצת פריצה לספוג חמדן

עד Mezo ב-איום מתמשך מתקדם (APT), תוכנה זדונית, כלי ניהול מרחוק
לתרגם ל:

ארגונים מקסיקניים ממשיכים להתמודד עם מתקפות סייבר מצד קבוצה בעלת מוטיבציה כלכלית המכונה Greedy Sponge, הממנפת גרסאות משופרות של AllaKore RAT ו-SystemBC. קמפיין זה, הפעיל מתחילת 2021, אינו מבחין בבחירת המטרות שלו, ומשפיע על תעשיות הנעות בין קמעונאות, חקלאות ובידור ועד ייצור, תחבורה, שירותים ציבוריים, מוצרי הון ובנקאות.

AllaKore RAT: כלי להונאה פיננסית

המטען המרכזי, AllaKore RAT , שונה בהרחבה כדי ללכוד נתונים פיננסיים רגישים. הנוזקה מתוכנתת לחלץ אישורי בנק ופרטי אימות ייחודיים לשרת פיקוד ובקרה (C2), מה שמאפשר הונאה פיננסית בקנה מידה גדול. דיווחים על קמפיין זה צפו לראשונה בינואר 2024, וחשפו כי התוקפים מסתמכים על פישינג ופרצות דרך כדי להפיץ ארכיוני ZIP זדוניים שנועדו לפרוס את AllaKore RAT.

חוקרים הבחינו כי AllaKore RAT משמש לעתים קרובות להעברת SystemBC , תוכנה זדונית מבוססת C אשר ממירה מכונות Windows שנפגעו לפרוקסי SOCKS5, ומספקת לתוקפים מנהרת תקשורת מאובטחת לתשתית ה-C2 שלהם.

טקטיקות מסחר וגידור גיאוגרפי משופרות

חברת Greedy Sponge פיתחה את הטקטיקות שלה. עד אמצע 2024, הקבוצה הציגה טכניקות גיאוגרפיות משופרות שמטרתן לסכל ניתוח חיצוני. בעבר, בדיקות גיאוגרפיות הוטמעו בקובץ הורדה של .NET בתוך קובץ מתקין של מיקרוסופט (MSI) שהודבק בטרויאנים. כעת, המגבלה הועברה לצד השרת, מה שמבטיח שרק קורבנות באזור המקסיקני הממוקד יקבלו את המטען הסופי.

שרשרת תקיפה נוכחית ומסירת מטען

רצפי ההתקפות האחרונים נותרו עקביים עם קמפיינים קודמים. קבצי ZIP זדוניים, כגון 'Actualiza_Policy_v01.zip', מכילים גם קובץ הרצה לגיטימי של Chrome proxy וגם קובץ מתקין MSI מוגן בטרויאנים. קובץ MSI זה תוכנן לנטרל את AllaKore RAT, הכולל יכולות כגון:

  • רישום מקשים, צילום מסך ושליטה מרחוק במערכות נגועות
  • העלאה והורדה של קבצים אל התשתית של התוקף וממנה

כדי להקל על ההדבקה, ה-MSI פורס גם תוכנת מוריד .NET, אשר מורידה את קובץ ה-RAT משרת חיצוני (manzisuape.com/amw), יחד עם סקריפט PowerShell שנועד לבצע פעולות ניקוי.

מיקוד אזורי מעבר למקסיקו

בעוד שמקסיקו נותרה המטרה העיקרית, גרסאות של AllaKore RAT נמצאות בשימוש גם ברחבי אמריקה הלטינית. ראוי לציין שבמאי 2024 נצפתה גרסת RAT המכונה AllaSenha (הידועה גם כ-CarnavalHeist) שכוונה נגד מוסדות בנקאיים ברזילאיים, המופעלים על ידי גורמי איום ילידי ברזיל.

ספוג חמדן: מתמיד אך לא מתוחכם

למרות התמדתה המבצעית במשך ארבע שנים, מומחים מסווגים את Greedy Sponge כיעילה אך לא מתקדמת במיוחד. המיקוד הגיאוגרפי הצר של הקבוצה והחתירה הבלעדית אחר רווח כספי מבדילים אותה מיריבים מתוחכמים יותר. מודלי התשתית הלא-משתנים שלהם והצלחתם ארוכת הטווח מצביעים על כך שהגישה הנוכחית שלהם הייתה יעילה באופן עקבי, מה שמפחית את הצורך בשינויים תפעוליים משמעותיים.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,859
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...