लोभी स्पन्ज ह्याकिङ समूह

मेक्सिकन संस्थाहरूले ग्रीडी स्पन्ज भनेर चिनिने आर्थिक रूपमा प्रेरित समूहबाट साइबर आक्रमणको सामना गरिरहेका छन्, जसले अल्लाकोर RAT र SystemBC को परिमार्जित संस्करणहरूको लाभ उठाइरहेको छ। २०२१ को सुरुदेखि सक्रिय, यो अभियानले आफ्नो लक्ष्य छनोटमा अन्धाधुन्ध काम गरिरहेको छ, जसले खुद्रा, कृषि र मनोरञ्जनदेखि उत्पादन, यातायात, सार्वजनिक सेवाहरू, पूँजीगत सामानहरू र बैंकिङसम्मका उद्योगहरूलाई असर गर्छ।

अल्लाकोर RAT: वित्तीय ठगीको लागि एक उपकरण

संवेदनशील वित्तीय डेटा खिच्नको लागि कोर पेलोड, AllaKore RAT , लाई व्यापक रूपमा परिवर्तन गरिएको छ। मालवेयरलाई बैंकिङ प्रमाणहरू र अद्वितीय प्रमाणीकरण विवरणहरू कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा फैलाउन प्रोग्राम गरिएको छ, जसले ठूलो मात्रामा वित्तीय ठगीलाई सक्षम बनाउँछ। यस अभियानको रिपोर्ट पहिलो पटक जनवरी २०२४ मा देखा पर्‍यो, जसले आक्रमणकारीहरूले AllaKore RAT तैनाथ गर्न डिजाइन गरिएको दुर्भावनापूर्ण ZIP अभिलेखहरू फैलाउन फिसिङ र ड्राइभ-बाई सम्झौताहरूमा भर पर्छन् भन्ने खुलासा गर्‍यो।

अनुसन्धानकर्ताहरूले देखेका छन् कि AllaKore RAT प्रायः SystemBC डेलिभर गर्न प्रयोग गरिन्छ, एक C-आधारित मालवेयर जसले सम्झौता गरिएका Windows मेसिनहरूलाई SOCKS5 प्रोक्सीहरूमा रूपान्तरण गर्दछ, जसले आक्रमणकारीहरूलाई तिनीहरूको C2 पूर्वाधारमा सुरक्षित सञ्चार सुरुङ प्रदान गर्दछ।

परिष्कृत ट्रेडक्राफ्ट र जियोफेन्सिङ रणनीतिहरू

ग्रीडी स्पन्जले आफ्नो रणनीतिहरू विकास गर्दै आएको छ। २०२४ को मध्यसम्ममा, समूहले बाह्य विश्लेषणलाई विफल पार्ने उद्देश्यले परिष्कृत जियोफेन्सिङ प्रविधिहरू प्रस्तुत गर्‍यो। पहिले, जियोफेन्सिङ जाँचहरू ट्रोजनाइज्ड माइक्रोसफ्ट इन्स्टलर (MSI) फाइल भित्र .NET डाउनलोडरमा इम्बेड गरिएको थियो। अब, प्रतिबन्ध सर्भर-साइडमा सारिएको छ, जसले गर्दा लक्षित मेक्सिकन क्षेत्र भित्रका पीडितहरूले मात्र अन्तिम पेलोड प्राप्त गर्छन् भन्ने कुरा सुनिश्चित गरिएको छ।

हालको आक्रमण श्रृंखला र पेलोड डेलिभरी

पछिल्ला आक्रमणका दृश्यहरू पहिलेका अभियानहरूसँग एकरूप छन्। 'Actualiza_Policy_v01.zip' जस्ता दुर्भावनापूर्ण ZIP फाइलहरूमा वैध Chrome प्रोक्सी कार्यान्वयनयोग्य र ट्रोजनाइज्ड MSI स्थापनाकर्ता दुवै हुन्छन्। यो MSI AllaKore RAT छोड्नको लागि बनाइएको हो, जसमा निम्न जस्ता क्षमताहरू समावेश छन्:

• संक्रमित प्रणालीहरूको किलगिङ, स्क्रिनसट क्याप्चर, र रिमोट कन्ट्रोल
• आक्रमणकारीको पूर्वाधारमा फाइलहरू अपलोड र डाउनलोड गर्ने

संक्रमणलाई सहज बनाउन, MSI ले .NET डाउनलोडर पनि तैनाथ गर्छ, जसले बाह्य सर्भर (manzisuape.com/amw) बाट RAT ल्याउँछ, साथै सफाई कार्यहरू गर्न डिजाइन गरिएको PowerShell स्क्रिप्ट पनि प्रयोग गर्छ।

मेक्सिकोभन्दा बाहिर क्षेत्रीय लक्ष्यीकरण

मेक्सिको प्राथमिक लक्ष्य बनेको भए पनि, अल्लाकोर RAT भेरियन्टहरू ल्याटिन अमेरिकाभरि पनि प्रयोग गरिएको छ। उल्लेखनीय रूपमा, मे २०२४ मा, अल्लासेन्हा (उर्फ कार्नाभलहाइस्ट) भनेर चिनिने भेरियन्ट ब्राजिलका बैंकिङ संस्थाहरूलाई लक्षित गर्दै अवलोकन गरिएको थियो, जुन ब्राजिलका स्थानीय खतरा अभिनेताहरूद्वारा सञ्चालित थिए।

लोभी स्पन्ज: निरन्तर तर परिष्कृत छैन

चार वर्षदेखि यसको सञ्चालन निरन्तरताको बावजुद, विज्ञहरूले ग्रीडी स्पन्जलाई प्रभावकारी तर अत्यधिक उन्नत नभएको रूपमा वर्गीकृत गर्छन्। समूहको साँघुरो भौगोलिक फोकस र वित्तीय लाभको विशेष खोजीले यसलाई थप परिष्कृत विरोधीहरूबाट अलग गर्छ। तिनीहरूको अपरिवर्तित पूर्वाधार मोडेल र दीर्घकालीन सफलताले संकेत गर्दछ कि तिनीहरूको हालको दृष्टिकोण निरन्तर प्रभावकारी भएको छ, महत्त्वपूर्ण परिचालन परिवर्तनहरूको आवश्यकतालाई कम गर्दै।