Greedy Sponge Hacking Group
Mexicaanse organisaties worden nog steeds geconfronteerd met cyberaanvallen van een financieel gemotiveerde groep genaamd Greedy Sponge, die gebruikmaakt van aangepaste varianten van AllaKore RAT en SystemBC. Deze campagne, die al sinds begin 2021 actief is, is willekeurig in de keuze van doelwitten en heeft gevolgen voor sectoren variërend van de detailhandel, landbouw en entertainment tot productie, transport, openbare diensten, kapitaalgoederen en het bankwezen.
Inhoudsopgave
AllaKore RAT: een hulpmiddel voor financiële fraude
De kernpayload, AllaKore RAT , is uitgebreid aangepast om gevoelige financiële gegevens te verzamelen. De malware is geprogrammeerd om bankgegevens en unieke authenticatiegegevens te exfiltreren naar een Command-and-Control (C2)-server, wat grootschalige financiële fraude mogelijk maakt. Berichten over deze campagne doken voor het eerst op in januari 2024, waaruit bleek dat de aanvallers phishing en drive-by-compromissen gebruiken om kwaadaardige ZIP-archieven te verspreiden die ontworpen zijn om AllaKore RAT te implementeren.
Onderzoekers hebben vastgesteld dat AllaKore RAT vaak wordt gebruikt om SystemBC te leveren, een C-gebaseerde malware die gecompromitteerde Windows-machines omzet in SOCKS5-proxyservers, waardoor aanvallers een beveiligde communicatietunnel naar hun C2-infrastructuur krijgen.
Verfijnde vakmanschap- en geofencing-tactieken
Greedy Sponge heeft zijn tactieken verder ontwikkeld. Medio 2024 introduceerde de groep verbeterde geofencingtechnieken om externe analyse te dwarsbomen. Voorheen waren geofencingcontroles ingebed in een .NET-downloader in een trojan-gebaseerd Microsoft-installatiebestand (MSI). Nu is de beperking verplaatst naar de serverkant, zodat alleen slachtoffers binnen de beoogde Mexicaanse regio de uiteindelijke payload ontvangen.
Huidige aanvalsketen en payload-levering
De nieuwste aanvalssequenties blijven consistent met eerdere campagnes. Kwaadaardige ZIP-bestanden, zoals 'Actualiza_Policy_v01.zip', bevatten zowel een legitiem uitvoerbaar Chrome-proxybestand als een trojan-gebaseerd MSI-installatieprogramma. Deze MSI is ontworpen om AllaKore RAT te verwijderen, wat onder andere de volgende mogelijkheden biedt:
- Keylogging, screenshots en afstandsbediening van geïnfecteerde systemen
- Het uploaden en downloaden van bestanden naar en van de infrastructuur van de aanvaller
Om de infectie te vergemakkelijken, implementeert de MSI ook een .NET-downloader, die de RAT ophaalt van een externe server (manzisuape.com/amw), samen met een PowerShell-script dat is ontworpen om opruimbewerkingen uit te voeren.
Regionale targeting buiten Mexico
Hoewel Mexico het primaire doelwit blijft, worden AllaKore RAT-varianten ook in Latijns-Amerika gebruikt. Zo werd in mei 2024 een variant genaamd AllaSenha (ook bekend als CarnavalHeist) waargenomen die zich richtte op Braziliaanse bankinstellingen, beheerd door criminelen die oorspronkelijk uit Brazilië komen.
Gulzige spons: volhardend maar niet verfijnd
Ondanks de operationele volharding van vier jaar, classificeren experts Greedy Sponge als effectief, maar niet erg geavanceerd. De beperkte geografische focus en het exclusieve streven naar financieel gewin onderscheiden de groep van meer geavanceerde tegenstanders. Hun ongewijzigde infrastructuurmodellen en succes op de lange termijn wijzen erop dat hun huidige aanpak consistent effectief is gebleken, waardoor de noodzaak voor significante operationele verschuivingen is verminderd.
