Grådig svamphackinggruppe
Meksikanske organisasjoner fortsetter å møte cyberangrep fra en økonomisk motivert gruppe kjent som Greedy Sponge, som utnytter modifiserte varianter av AllaKore RAT og SystemBC. Denne kampanjen, som har vært aktiv siden tidlig i 2021, er vilkårlig i valget av mål, og påvirker bransjer som spenner fra detaljhandel, landbruk og underholdning til produksjon, transport, offentlige tjenester, kapitalvarer og bankvirksomhet.
Innholdsfortegnelse
AllaKore RAT: Et verktøy for økonomisk svindel
Kjernenyttelasten, AllaKore RAT , har blitt omfattende endret for å fange opp sensitive økonomiske data. Skadevaren er programmert til å tømme banklegitimasjon og unike autentiseringsdetaljer til en kommando-og-kontroll (C2)-server, noe som muliggjør storstilt økonomisk svindel. Rapporter om denne kampanjen dukket først opp i januar 2024, og avslørte at angriperne er avhengige av phishing og drive-by-kompromitteringer for å spre ondsinnede ZIP-arkiver designet for å distribuere AllaKore RAT.
Forskere har observert at AllaKore RAT ofte brukes til å levere SystemBC , en C-basert skadelig programvare som konverterer kompromitterte Windows-maskiner til SOCKS5-proxyer, og gir angriperne en sikker kommunikasjonstunnel til C2-infrastrukturen deres.
Raffinerte håndverks- og geofencing-taktikker
Greedy Sponge har utviklet taktikkene sine. Innen midten av 2024 introduserte gruppen forbedrede geofencing-teknikker som hadde som mål å hindre ekstern analyse. Tidligere var geofencing-sjekker innebygd i en .NET-nedlaster i en trojanisert Microsoft-installasjonsfil (MSI). Nå er begrensningen flyttet til serversiden, noe som sikrer at bare ofre i den målrettede meksikanske regionen mottar den endelige nyttelasten.
Nåværende angrepskjede og nyttelastlevering
De siste angrepssekvensene er konsistente med tidligere kampanjer. Ondsinnede ZIP-filer, som «Actualiza_Policy_v01.zip», inneholder både en legitim kjørbar Chrome-proxy og et trojanerisert MSI-installasjonsprogram. Denne MSI-en er konstruert for å fjerne AllaKore RAT, som inkluderer funksjoner som:
- Tastelogging, skjermbildeopptak og fjernkontroll av infiserte systemer
- Opplasting og nedlasting av filer til og fra angriperens infrastruktur
For å legge til rette for infeksjonen distribuerer MSI også en .NET-nedlaster, som henter RAT-filen fra en ekstern server (manzisuape.com/amw), sammen med et PowerShell-skript designet for å utføre oppryddingsoperasjoner.
Regional målretting utenfor Mexico
Selv om Mexico fortsatt er hovedmålet, har AllaKore RAT-varianter også blitt brukt over hele Latin-Amerika. Det er verdt å merke seg at i mai 2024 ble en variant kjent som AllaSenha (også kjent som CarnavalHeist) observert rettet mot brasilianske bankinstitusjoner, drevet av trusselaktører hjemmehørende i Brasil.
Grådig svamp: Vedvarende, men ikke sofistikert
Til tross for at selskapet har vært operativt i over fire år, klassifiserer eksperter Greedy Sponge som effektivt, men ikke svært avansert. Gruppens smale geografiske fokus og utelukkende jakt på økonomisk gevinst skiller det fra mer sofistikerte motstandere. Deres uendrede infrastrukturmodeller og langsiktige suksess indikerer at deres nåværende tilnærming har vært gjennomgående effektiv, noe som reduserer behovet for betydelige driftsendringer.
