Kumpulan Menggodam Sponge Tamak
Organisasi Mexico terus menghadapi serangan siber daripada kumpulan bermotivasi kewangan yang dikenali sebagai Greedy Sponge, yang memanfaatkan varian AllaKore RAT dan SystemBC yang diubah suai. Aktif sejak awal 2021, kempen ini tanpa pilih kasih dalam pilihan sasarannya, memberi kesan kepada industri daripada peruncitan, pertanian dan hiburan kepada pembuatan, pengangkutan, perkhidmatan awam, barangan modal dan perbankan.
Isi kandungan
AllaKore RAT: Alat untuk Penipuan Kewangan
Muatan teras, AllaKore RAT , telah diubah secara meluas untuk menangkap data kewangan yang sensitif. Perisian hasad diprogramkan untuk mengeluarkan bukti kelayakan perbankan dan butiran pengesahan unik ke pelayan Command-and-Control (C2), yang membolehkan penipuan kewangan berskala besar. Laporan kempen ini mula-mula muncul pada Januari 2024, mendedahkan bahawa penyerang bergantung pada pancingan data dan kompromi drive-by untuk menyebarkan arkib ZIP berniat jahat yang direka untuk menggunakan AllaKore RAT.
Penyelidik telah memerhatikan bahawa AllaKore RAT sering digunakan untuk menghantar SystemBC , perisian hasad berasaskan C yang menukar mesin Windows yang terjejas kepada proksi SOCKS5, memberikan penyerang dengan terowong komunikasi yang selamat kepada infrastruktur C2 mereka.
Taktik Tradecraft dan Geofencing yang diperhalusi
Sponge tamak telah mengembangkan taktiknya. Menjelang pertengahan 2024, kumpulan itu memperkenalkan teknik geofencing yang dipertingkatkan bertujuan untuk menggagalkan analisis luaran. Sebelum ini, semakan geofencing telah dibenamkan dalam pemuat turun .NET dalam fail pemasang Microsoft (MSI) yang ditrojan. Kini, sekatan telah dipindahkan ke bahagian pelayan, memastikan hanya mangsa dalam wilayah Mexico yang disasarkan menerima muatan akhir.
Rantaian Serangan dan Penghantaran Muatan Semasa
Urutan serangan terkini kekal konsisten dengan kempen terdahulu. Fail ZIP berniat jahat, seperti 'Actualiza_Policy_v01.zip,' mengandungi kedua-dua proksi Chrome boleh laku yang sah dan pemasang MSI yang ditrojan. MSI ini direka bentuk untuk menggugurkan AllaKore RAT, yang merangkumi keupayaan seperti:
- Pengelogan kunci, tangkapan skrin dan kawalan jauh sistem yang dijangkiti
- Memuat naik dan memuat turun fail ke dan dari infrastruktur penyerang
Untuk memudahkan jangkitan, MSI juga menggunakan pemuat turun .NET, yang mengambil RAT daripada pelayan luaran (manzisuape.com/amw), bersama-sama dengan skrip PowerShell yang direka untuk melaksanakan operasi pembersihan.
Penyasaran Serantau Di Luar Mexico
Walaupun Mexico kekal sebagai sasaran utama, varian RAT AllaKore juga telah digunakan di seluruh Amerika Latin. Terutama, pada Mei 2024, varian yang dikenali sebagai AllaSenha (aka CarnavalHeist) diperhatikan menyasarkan institusi perbankan Brazil, yang dikendalikan oleh aktor ancaman yang berasal dari Brazil.
Span Tamak: Gigih tetapi Tidak Canggih
Di sebalik kegigihan operasinya selama empat tahun, pakar mengklasifikasikan Span Tamak sebagai berkesan namun tidak begitu maju. Tumpuan geografi sempit kumpulan dan usaha eksklusif untuk mendapatkan keuntungan kewangan membezakannya daripada musuh yang lebih canggih. Model infrastruktur mereka yang tidak berubah dan kejayaan jangka panjang menunjukkan bahawa pendekatan semasa mereka berkesan secara konsisten, mengurangkan keperluan untuk peralihan operasi yang ketara.
