Kapzsi Szivacs Hacker Csoport

Mexikói szervezetek továbbra is kibertámadásokkal néznek szembe egy pénzügyileg motivált Greedy Sponge nevű csoport részéről, amely az AllaKore RAT és a SystemBC módosított változatait használja. A 2021 eleje óta aktív kampány nem válogatás nélkül választja ki a célpontjait, és számos iparágat érint a kiskereskedelemtől, a mezőgazdaságtól és a szórakoztatóipartól kezdve a gyártáson, a közlekedésen, a közszolgáltatásokon, a tőkejavakon és a banki szektoron át.

AllaKore RAT: Eszköz pénzügyi csalásokhoz

A fő hasznos fájlt, az AllaKore RAT-ot jelentősen módosították, hogy érzékeny pénzügyi adatokat rögzítsen. A rosszindulatú program úgy van programozva, hogy banki hitelesítő adatokat és egyedi hitelesítési adatokat szivárogtasson ki egy Command-and-Control (C2) szerverre, lehetővé téve a nagyszabású pénzügyi csalásokat. A kampányról szóló jelentések először 2024 januárjában jelentek meg, feltárva, hogy a támadók adathalászatra és drive-by kompromittálásokra támaszkodnak az AllaKore RAT telepítésére tervezett rosszindulatú ZIP archívumok terjesztésére.

A kutatók megfigyelték, hogy az AllaKore RAT-ot gyakran használják a SystemBC , egy C-alapú rosszindulatú program eljuttatására, amely a feltört Windows gépeket SOCKS5 proxykká alakítja, biztonságos kommunikációs alagutat biztosítva a támadóknak a C2 infrastruktúrájukhoz.

Finomított kereskedelmi és geokerítési taktikák

A Greedy Sponge folyamatosan fejleszti taktikáját. 2024 közepére a csoport továbbfejlesztett geofencing technikákat vezetett be, amelyek célja a külső elemzések megakadályozása. Korábban a geofencing ellenőrzéseket egy .NET letöltőbe ágyazták be egy trójai Microsoft telepítőfájlba (MSI). Most a korlátozást áthelyezték a szerveroldalra, biztosítva, hogy csak a célzott mexikói régióban lévő áldozatok kapják meg a végső hasznos adatot.

Aktuális támadási lánc és hasznos teher szállítása

A legújabb támadási sorozatok összhangban vannak a korábbi kampányokkal. A rosszindulatú ZIP fájlok, mint például az „Actualiza_Policy_v01.zip”, tartalmaznak egy legitim Chrome proxy futtatható fájlt és egy trójai MSI telepítőt is. Ez az MSI úgy van kialakítva, hogy eltávolítsa az AllaKore RAT-ot, amely olyan képességeket tartalmaz, mint:

• Billentyűzetfigyelés, képernyőképek rögzítése és a fertőzött rendszerek távoli vezérlése
• Fájlok feltöltése és letöltése a támadó infrastruktúrájára és onnan

A fertőzés elősegítése érdekében az MSI egy .NET letöltőt is telepít, amely egy külső szerverről (manzisuape.com/amw) tölti le a RAT vírust, valamint egy PowerShell szkriptet, amely a tisztítási műveletek végrehajtására szolgál.

Regionális célzás Mexikón túl

Bár Mexikó továbbra is az elsődleges célpont, az AllaKore RAT variánsokat Latin-Amerikában is használták. Nevezetesen, 2024 májusában egy AllaSenha (más néven CarnavalHeist) néven ismert variánst figyeltek meg, amely brazil bankintézményeket vett célba, és amelyet Brazíliában élő fenyegető szereplők működtettek.

Kapzsi szivacs: Kitartó, de nem kifinomult

Annak ellenére, hogy a Greedy Sponge több mint négy éve működik, a szakértők hatékonynak, de nem túl fejlettnek minősítik. A csoport szűk földrajzi fókusza és kizárólagos pénzügyi haszonszerzési törekvése megkülönbözteti a kifinomultabb riválisoktól. Változatlan infrastrukturális modelljeik és hosszú távú sikereik azt jelzik, hogy jelenlegi megközelítésük következetesen hatékony, csökkentve a jelentős működési változtatások szükségességét.