Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) Grupa za hakiranje pohlepnih spužvi

Grupa za hakiranje pohlepnih spužvi

Do Mezo. Napredna trajna prijetnja (APT), Malware, Alati za udaljenu administraciju. godine
Prevedi na:

Meksičke organizacije i dalje se suočavaju s kibernetičkim napadima financijski motivirane skupine poznate kao Greedy Sponge, koja koristi modificirane varijante AllaKore RAT-a i SystemBC-a. Aktivna od početka 2021., ova kampanja neselektivno bira ciljeve, utječući na industrije u rasponu od maloprodaje, poljoprivrede i zabave do proizvodnje, prijevoza, javnih usluga, kapitalnih dobara i bankarstva.

AllaKore RAT: Alat za financijske prijevare

Glavni korisni sadržaj, AllaKore RAT , opsežno je izmijenjen kako bi se uhvatili osjetljivi financijski podaci. Zlonamjerni softver programiran je za krađu bankovnih vjerodajnica i jedinstvenih podataka za autentifikaciju na Command-and-Control (C2) poslužitelj, omogućujući financijske prijevare velikih razmjera. Izvješća o ovoj kampanji prvi put su se pojavila u siječnju 2024., otkrivajući da se napadači oslanjaju na phishing i drive-by kompromitacije kako bi širili zlonamjerne ZIP arhive dizajnirane za implementaciju AllaKore RAT-a.

Istraživači su primijetili da se AllaKore RAT često koristi za isporuku SystemBC-a , zlonamjernog softvera temeljenog na C-u koji pretvara kompromitirana Windows računala u SOCKS5 proxyje, pružajući napadačima siguran komunikacijski tunel do njihove C2 infrastrukture.

Usavršene taktike trgovačkog zanata i geofencinga

Greedy Sponge razvija svoje taktike. Do sredine 2024. godine, grupa je uvela poboljšane tehnike geofencinga usmjerene na sprječavanje vanjske analize. Prije su provjere geofencinga bile ugrađene u .NET downloader unutar trojanski zaražene Microsoftove instalacijske datoteke (MSI). Sada je ograničenje premješteno na stranu poslužitelja, osiguravajući da samo žrtve unutar ciljane meksičke regije prime konačni korisni teret.

Trenutni lanac napada i isporuka korisnog tereta

Najnoviji nizovi napada ostaju u skladu s ranijim kampanjama. Zlonamjerne ZIP datoteke, kao što je 'Actualiza_Policy_v01.zip', sadrže i legitimnu izvršnu datoteku Chrome proxyja i trojanski MSI instalacijski program. Ovaj MSI je dizajniran za uklanjanje AllaKore RAT-a, koji uključuje mogućnosti kao što su:

  • Keylogging, snimanje zaslona i daljinsko upravljanje zaraženim sustavima
  • Prijenos i preuzimanje datoteka na i s infrastrukture napadača

Kako bi olakšao infekciju, MSI također koristi .NET downloader koji dohvaća RAT s vanjskog poslužitelja (manzisuape.com/amw), zajedno s PowerShell skriptom dizajniranom za izvođenje operacija čišćenja.

Regionalno ciljanje izvan Meksika

Iako Meksiko ostaje primarna meta, varijante AllaKore RAT-a korištene su i diljem Latinske Amerike. Posebno je važno napomenuti da je u svibnju 2024. uočena varijanta poznata kao AllaSenha (poznata i kao CarnavalHeist) koja je ciljala brazilske bankarske institucije, kojima upravljaju prijetnje porijeklom iz Brazila.

Pohlepna spužva: Uporna, ali ne i sofisticirana

Unatoč operativnoj upornosti već četiri godine, stručnjaci klasificiraju Greedy Sponge kao učinkovitu, ali ne i vrlo naprednu. Uski geografski fokus grupe i isključiva težnja za financijskom dobiti razlikuju je od sofisticiranijih protivnika. Njihovi nepromijenjeni infrastrukturni modeli i dugoročni uspjeh ukazuju na to da je njihov trenutni pristup bio dosljedno učinkovit, smanjujući potrebu za značajnim operativnim promjenama.

U trendu

Nagledanije

Učitavam...