탐욕스러운 스펀지 해킹 그룹

멕시코 조직들은 탐욕 스폰지(Greedy Sponge)라는 금전적 동기를 가진 집단의 사이버 공격에 지속적으로 직면하고 있습니다. 탐욕 스폰지는 AllaKore RAT와 SystemBC의 변형된 변종을 활용하고 있습니다. 2021년 초부터 활동해 온 이 캠페인은 소매, 농업, 엔터테인먼트부터 제조, 운송, 공공 서비스, 자본재, 은행업에 이르기까지 다양한 산업에 영향을 미치며, 타깃을 가리지 않습니다.

AllaKore RAT: 금융 사기를 위한 도구

핵심 페이로드인 AllaKore RAT 는 민감한 금융 데이터를 탈취하기 위해 광범위하게 변조되었습니다. 이 악성코드는 은행 계좌 정보와 고유 인증 정보를 C2 서버로 유출하여 대규모 금융 사기를 저지르도록 프로그래밍되어 있습니다. 이 캠페인에 대한 보고는 2024년 1월에 처음 발견되었으며, 공격자들은 AllaKore RAT를 배포하도록 설계된 악성 ZIP 파일을 유포하기 위해 피싱 및 드라이브 바이 공격(drive-by-compromise)을 이용한다는 사실이 밝혀졌습니다.

연구자들은 AllaKore RAT가 종종 SystemBC를 전달하는 데 사용된다는 것을 발견했습니다. SystemBC는 손상된 Windows 컴퓨터를 SOCKS5 프록시로 변환하는 C 기반 맬웨어로, 공격자에게 C2 인프라로 가는 안전한 통신 터널을 제공합니다.

세련된 무역 기술과 지오펜싱 전술

Greedy Sponge는 전략을 계속 발전시켜 왔습니다. 2024년 중반, 이 그룹은 외부 분석을 차단하기 위한 강화된 지오펜싱 기술을 도입했습니다. 이전에는 지오펜싱 검사가 트로이 목마가 감염된 Microsoft 설치 프로그램(MSI) 파일 내의 .NET 다운로더에 내장되어 있었습니다. 이제 이 제한은 서버 측으로 이전되어, 대상 멕시코 지역 내의 피해자만 최종 페이로드를 수신하도록 보장됩니다.

현재 공격 체인 및 페이로드 전달

최신 공격 시퀀스는 이전 캠페인과 동일합니다. 'Actualiza_Policy_v01.zip'과 같은 악성 ZIP 파일에는 합법적인 Chrome 프록시 실행 파일과 트로이 목마에 감염된 MSI 설치 프로그램이 모두 포함되어 있습니다. 이 MSI는 다음과 같은 기능을 포함하는 AllaKore RAT를 설치하도록 설계되었습니다.

• 감염된 시스템의 키로깅, 스크린샷 캡처 및 원격 제어
• 공격자의 인프라에 파일을 업로드 및 다운로드

감염을 용이하게 하기 위해 MSI는 외부 서버(manzisuape.com/amw)에서 RAT를 가져오는 .NET 다운로더와 정리 작업을 수행하도록 설계된 PowerShell 스크립트를 배포합니다.

멕시코를 넘어 지역 타겟팅

멕시코가 여전히 주요 공격 대상이지만, AllaKore RAT 변종은 라틴 아메리카 전역에서도 사용되었습니다. 특히 2024년 5월에는 AllaSenha(일명 CarnavalHeist)라는 변종이 브라질 출신 위협 행위자들이 운영하는 브라질 은행 기관을 표적으로 삼는 것이 관찰되었습니다.

탐욕스러운 스펀지: 끈기 있지만 정교하지는 않음

4년 넘게 지속된 작전에도 불구하고, 전문가들은 탐욕 스폰지(Greedy Sponge)를 효과적이면서도 고도로 발달된 조직은 아니라고 분류합니다. 이 조직의 좁은 지역적 집중과 금전적 이익만을 추구하는 점은 더욱 정교한 적대 세력과 구별됩니다. 변함없는 인프라 모델과 장기적인 성공은 현재의 접근 방식이 지속적으로 효과적이었으며, 이로 인해 운영 방식의 대대적인 변화 필요성이 줄어들었음을 시사합니다.