Godus kempinės įsilaužimo grupė
Meksikos organizacijos ir toliau susiduria su kibernetinėmis atakomis iš finansiškai motyvuotos grupuotės „Greedy Sponge“, kuri naudoja modifikuotus „AllaKore RAT“ ir „SystemBC“ variantus. Ši kampanija, veikianti nuo 2021 m. pradžios, nekritiškai renkasi taikinius ir daro įtaką įvairioms pramonės šakoms – nuo mažmeninės prekybos, žemės ūkio ir pramogų iki gamybos, transporto, viešųjų paslaugų, kapitalo prekių ir bankininkystės.
Turinys
„AllaKore RAT“: finansinio sukčiavimo įrankis
Pagrindinė programos dalis – „AllaKore RAT“ – buvo smarkiai pakeista, siekiant užfiksuoti slaptus finansinius duomenis. Kenkėjiška programa užprogramuota taip, kad išfiltruotų banko prisijungimo duomenis ir unikalius autentifikavimo duomenis į komandų ir kontrolės (C2) serverį, taip sudarydama sąlygas didelio masto finansiniam sukčiavimui. Pranešimai apie šią kampaniją pirmą kartą pasirodė 2024 m. sausio mėn., atskleidžiant, kad užpuolikai, norėdami platinti kenkėjiškus ZIP archyvus, skirtus „AllaKore RAT“ diegimui, naudoja sukčiavimo atakas ir automatinius įsilaužimus.
Tyrėjai pastebėjo, kad „AllaKore RAT“ dažnai naudojama „SystemBC“ – C pagrindu veikiančiai kenkėjiškai programai, kuri pažeistas „Windows“ mašinas paverčia SOCKS5 tarpiniais serveriais ir suteikia užpuolikams saugų ryšio tunelį su jų C2 infrastruktūra, – pristatyti.
Patobulinta prekybos ir geofencingo taktika
„Greedy Sponge“ tobulina savo taktiką. Iki 2024 m. vidurio grupė įdiegė patobulintas geofencingo technologijas, skirtas užkirsti kelią išorinei analizei. Anksčiau geofencingo patikros buvo įterptos į .NET atsisiuntimo programą, esančią trojanizuotame „Microsoft“ diegimo programos (MSI) faile. Dabar apribojimas perkeltas į serverio pusę, užtikrinant, kad galutinį naudingąjį turinį gautų tik aukos, esančios tiksliniame Meksikos regione.
Dabartinė atakos grandinė ir naudingojo krovinio pristatymas
Naujausios atakų sekos atitinka ankstesnes kampanijas. Kenkėjiškuose ZIP failuose, tokiuose kaip „Actualiza_Policy_v01.zip“, yra ir teisėtas „Chrome“ tarpinio serverio vykdomasis failas, ir trojanizuotas MSI diegimo failas. Šis MSI sukurtas taip, kad paleistų „AllaKore RAT“, kuris apima tokias funkcijas kaip:
- Klaviatūros paspaudimų registravimas, ekrano kopijų darymas ir užkrėstų sistemų nuotolinis valdymas
- Failų įkėlimas ir atsisiuntimas į užpuoliko infrastruktūrą ir iš jos
Siekdama palengvinti užkrėtimą, MSI taip pat diegia .NET atsisiuntimo programą, kuri nuskaito RAT iš išorinio serverio (manzisuape.com/amw) kartu su „PowerShell“ scenarijumi, skirtu valymo operacijoms atlikti.
Regioninis taikymas už Meksikos ribų
Nors pagrindinis taikinys išlieka Meksika, „AllaKore“ RAT variantai taip pat buvo naudojami visoje Lotynų Amerikoje. Pažymėtina, kad 2024 m. gegužės mėn. buvo pastebėtas variantas, žinomas kaip „AllaSenha“ (dar žinomas kaip „CarnavalHeist“), kuris taikėsi į Brazilijos bankų įstaigas, kurias valdo Brazilijoje kilę grėsmės subjektai.
Godus kempinė: atkaklus, bet neįmantrus
Nepaisant to, kad „Greedy Sponge“ veikia ilgiau nei ketverius metus, ekspertai ją priskiria prie veiksmingų, tačiau nelabai pažangių grupių. Siaura geografinė grupės veikla ir išskirtinis finansinės naudos siekis išskiria ją iš sudėtingesnių priešininkų. Nepakitę infrastruktūros modeliai ir ilgalaikė sėkmė rodo, kad dabartinis požiūris nuolat veiksmingas, todėl sumažėja poreikis reikšmingiems veiklos pokyčiams.
