लालची स्पंज हैकिंग समूह

मैक्सिकन संगठनों को लालची स्पंज नामक एक आर्थिक रूप से प्रेरित समूह से साइबर हमलों का सामना करना पड़ रहा है, जो अल्लाकोर आरएटी और सिस्टमबीसी के संशोधित संस्करणों का लाभ उठा रहा है। 2021 की शुरुआत से सक्रिय, यह अभियान अपने लक्ष्यों के चयन में अंधाधुंध है, जो खुदरा, कृषि और मनोरंजन से लेकर विनिर्माण, परिवहन, सार्वजनिक सेवाओं, पूंजीगत वस्तुओं और बैंकिंग तक के उद्योगों को प्रभावित कर रहा है।

अल्लाकोरे आरएटी: वित्तीय धोखाधड़ी का एक उपकरण

संवेदनशील वित्तीय डेटा को कैप्चर करने के लिए कोर पेलोड, अल्लाकोर आरएटी , में बड़े पैमाने पर बदलाव किए गए हैं। मैलवेयर को बैंकिंग क्रेडेंशियल्स और विशिष्ट प्रमाणीकरण विवरणों को कमांड-एंड-कंट्रोल (C2) सर्वर तक पहुँचाने के लिए प्रोग्राम किया गया है, जिससे बड़े पैमाने पर वित्तीय धोखाधड़ी संभव हो सकती है। इस अभियान की रिपोर्ट पहली बार जनवरी 2024 में सामने आई थी, जिसमें खुलासा हुआ था कि हमलावर अल्लाकोर आरएटी को तैनात करने के लिए डिज़ाइन किए गए दुर्भावनापूर्ण ज़िप अभिलेखागार को फैलाने के लिए फ़िशिंग और ड्राइव-बाय समझौतों का सहारा लेते हैं।

शोधकर्ताओं ने पाया है कि अल्लाकोर आरएटी का उपयोग अक्सर सिस्टमबीसी (SystemBC) को वितरित करने के लिए किया जाता है, जो एक सी-आधारित मैलवेयर है, जो समझौता किए गए विंडोज मशीनों को SOCKS5 प्रॉक्सी में परिवर्तित करता है, जिससे हमलावरों को उनके C2 बुनियादी ढांचे के लिए एक सुरक्षित संचार सुरंग मिल जाती है।

परिष्कृत व्यापार कला और भू-बाड़ लगाने की रणनीतियाँ

लालची स्पंज अपनी रणनीति में सुधार कर रहा है। 2024 के मध्य तक, समूह ने बाहरी विश्लेषण को विफल करने के उद्देश्य से उन्नत जियोफेंसिंग तकनीकें शुरू कीं। पहले, जियोफेंसिंग जाँचें एक ट्रोजन-संचालित माइक्रोसॉफ्ट इंस्टॉलर (MSI) फ़ाइल के भीतर एक .NET डाउनलोडर में अंतर्निहित थीं। अब, यह प्रतिबंध सर्वर-साइड पर स्थानांतरित कर दिया गया है, जिससे यह सुनिश्चित होता है कि केवल लक्षित मैक्सिकन क्षेत्र के पीड़ितों को ही अंतिम पेलोड प्राप्त हो।

वर्तमान आक्रमण श्रृंखला और पेलोड वितरण

नवीनतम हमले क्रम पहले के अभियानों के अनुरूप ही हैं। 'Actualiza_Policy_v01.zip' जैसी दुर्भावनापूर्ण ZIP फ़ाइलों में एक वैध Chrome प्रॉक्सी निष्पादन योग्य और एक ट्रोजनकृत MSI इंस्टॉलर दोनों शामिल हैं। यह MSI AllaKore RAT को हटाने के लिए डिज़ाइन किया गया है, जिसमें निम्नलिखित क्षमताएँ शामिल हैं:

• कीलॉगिंग, स्क्रीनशॉट कैप्चर, और संक्रमित सिस्टम का रिमोट कंट्रोल
• हमलावर के बुनियादी ढांचे से फ़ाइलें अपलोड और डाउनलोड करना

संक्रमण को सुविधाजनक बनाने के लिए, MSI एक .NET डाउनलोडर भी तैनात करता है, जो बाहरी सर्वर (manzisuape.com/amw) से RAT को प्राप्त करता है, साथ ही क्लीनअप ऑपरेशन करने के लिए डिज़ाइन की गई PowerShell स्क्रिप्ट भी।

मेक्सिको से परे क्षेत्रीय लक्ष्यीकरण

मेक्सिको अभी भी मुख्य लक्ष्य बना हुआ है, लेकिन अल्लाकोर आरएटी वेरिएंट का इस्तेमाल लैटिन अमेरिका में भी किया जा रहा है। उल्लेखनीय है कि मई 2024 में, अल्लासेन्हा (उर्फ कार्निवालहिस्ट) नामक एक वेरिएंट को ब्राज़ील के बैंकिंग संस्थानों को निशाना बनाते हुए देखा गया था, जिनका संचालन ब्राज़ील के मूल निवासी ख़तरा पैदा करने वाले करते थे।

लालची स्पंज: लगातार लेकिन परिष्कृत नहीं

चार वर्षों से चल रही अपनी परिचालन निरंतरता के बावजूद, विशेषज्ञ ग्रीडी स्पंज को प्रभावी तो मानते हैं, लेकिन बहुत उन्नत नहीं। समूह का संकीर्ण भौगोलिक फोकस और वित्तीय लाभ की अनन्य खोज इसे अपने अधिक परिष्कृत प्रतिद्वंद्वियों से अलग करती है। उनके अपरिवर्तित बुनियादी ढाँचे के मॉडल और दीर्घकालिक सफलताएँ दर्शाती हैं कि उनका वर्तमान दृष्टिकोण लगातार प्रभावी रहा है, जिससे महत्वपूर्ण परिचालन बदलावों की आवश्यकता कम हो गई है।