Mantkārīga sūkļa uzlaušanas grupa
Meksikas organizācijas joprojām saskaras ar kiberuzbrukumiem no finansiāli motivētas grupas, kas pazīstama kā Greedy Sponge, kura izmanto modificētus AllaKore RAT un SystemBC variantus. Šī kampaņa, kas ir aktīva kopš 2021. gada sākuma, nekritiski izvēlas mērķus, ietekmējot dažādas nozares, sākot no mazumtirdzniecības, lauksaimniecības un izklaides līdz ražošanai, transportam, sabiedriskajiem pakalpojumiem, kapitālprecēm un banku darbībai.
Satura rādītājs
AllaKore RAT: finanšu krāpšanas rīks
Galvenā lietderīgā daba AllaKore RAT ir plaši mainīta, lai iegūtu sensitīvus finanšu datus. Ļaunprogrammatūra ir ieprogrammēta tā, lai nozagtu bankas akreditācijas datus un unikālus autentifikācijas datus uz vadības un kontroles (C2) serveri, tādējādi nodrošinot liela mēroga finanšu krāpšanu. Ziņojumi par šo kampaņu pirmo reizi parādījās 2024. gada janvārī, atklājot, ka uzbrucēji izmanto pikšķerēšanu un nejaušas ielaušanās uzbrukumus, lai izplatītu ļaunprātīgus ZIP arhīvus, kas paredzēti AllaKore RAT izvietošanai.
Pētnieki ir novērojuši, ka AllaKore RAT bieži tiek izmantots, lai piegādātu SystemBC — C bāzētu ļaunprogrammatūru, kas pārveido apdraudētās Windows mašīnas par SOCKS5 starpniekservera serveriem, nodrošinot uzbrucējiem drošu sakaru tuneli ar viņu C2 infrastruktūru.
Rafinēta amatniecība un ģeofencēšanas taktika
“Greedy Sponge” ir attīstījusi savu taktiku. Līdz 2024. gada vidum grupa ieviesa uzlabotas ģeogrāfiskās norobežošanas metodes, kuru mērķis bija novērst ārēju analīzi. Iepriekš ģeogrāfiskās norobežošanas pārbaudes bija iestrādātas .NET lejupielādētājā, kas ietverts Trojas zirga inficētā Microsoft instalēšanas (MSI) failā. Tagad ierobežojums ir pārvietots uz servera pusi, nodrošinot, ka galīgo vērtumu saņem tikai upuri mērķa Meksikas reģionā.
Pašreizējā uzbrukuma ķēde un lietderīgās slodzes piegāde
Jaunākās uzbrukumu secības atbilst iepriekšējām kampaņām. Ļaunprātīgi ZIP faili, piemēram, “Actualiza_Policy_v01.zip”, satur gan likumīgu Chrome starpniekservera izpildāmo failu, gan Trojas zirga MSI instalētāju. Šis MSI ir izstrādāts, lai izlaistu AllaKore RAT, kas ietver tādas iespējas kā:
- Taustiņnospiedumu fiksēšana, ekrānuzņēmumu uzņemšana un inficēto sistēmu tālvadība
- Failu augšupielāde un lejupielāde uzbrucēja infrastruktūrā un no tās
Lai atvieglotu inficēšanu, MSI izvieto arī .NET lejupielādētāju, kas ielādē RAT no ārēja servera (manzisuape.com/amw), kā arī PowerShell skriptu, kas paredzēts tīrīšanas darbību veikšanai.
Reģionālā mērķauditorijas atlase ārpus Meksikas
Lai gan Meksika joprojām ir galvenais mērķis, AllaKore RAT varianti ir izmantoti arī visā Latīņamerikā. Jāatzīmē, ka 2024. gada maijā tika novērots variants, kas pazīstams kā AllaSenha (jeb CarnavalHeist), kas bija vērsts pret Brazīlijas banku iestādēm, kuras pārvaldīja Brazīlijas izcelsmes apdraudējumu dalībnieki.
Mantkārīgs sūklis: noturīgs, bet ne izsmalcināts
Neskatoties uz Greedy Sponge pastāvīgo darbību vairāk nekā četrus gadus, eksperti to klasificē kā efektīvu, tomēr ne īpaši progresīvu. Grupas šaurā ģeogrāfiskā darbība un ekskluzīvā finansiāla labuma gūšana to atšķir no sarežģītākiem pretiniekiem. To nemainīgie infrastruktūras modeļi un ilgtermiņa panākumi liecina, ka to pašreizējā pieeja ir bijusi pastāvīgi efektīva, samazinot nepieciešamību pēc būtiskām darbības izmaiņām.
