ਲਾਲਚੀ ਸਪੰਜ ਹੈਕਿੰਗ ਗਰੁੱਪ

ਮੈਕਸੀਕਨ ਸੰਗਠਨਾਂ ਨੂੰ ਗ੍ਰੀਡੀ ਸਪੰਜ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਸਮੂਹ ਦੇ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈ ਰਿਹਾ ਹੈ, ਜੋ ਕਿ ਅੱਲਾਕੋਰ ਆਰਏਟੀ ਅਤੇ ਸਿਸਟਮਬੀਸੀ ਦੇ ਸੋਧੇ ਹੋਏ ਰੂਪਾਂ ਦਾ ਲਾਭ ਉਠਾ ਰਿਹਾ ਹੈ। 2021 ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਸਰਗਰਮ, ਇਹ ਮੁਹਿੰਮ ਆਪਣੇ ਟੀਚਿਆਂ ਦੀ ਚੋਣ ਵਿੱਚ ਅੰਨ੍ਹੇਵਾਹ ਹੈ, ਜੋ ਪ੍ਰਚੂਨ, ਖੇਤੀਬਾੜੀ ਅਤੇ ਮਨੋਰੰਜਨ ਤੋਂ ਲੈ ਕੇ ਨਿਰਮਾਣ, ਆਵਾਜਾਈ, ਜਨਤਕ ਸੇਵਾਵਾਂ, ਪੂੰਜੀਗਤ ਵਸਤੂਆਂ ਅਤੇ ਬੈਂਕਿੰਗ ਤੱਕ ਦੇ ਉਦਯੋਗਾਂ ਨੂੰ ਪ੍ਰਭਾਵਤ ਕਰਦੀ ਹੈ।

ਅੱਲਾਕੋਰ ਰੈਟ: ਵਿੱਤੀ ਧੋਖਾਧੜੀ ਲਈ ਇੱਕ ਸਾਧਨ

ਕੋਰ ਪੇਲੋਡ, ਅੱਲਾਕੋਰ RAT , ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਵਿੱਤੀ ਡੇਟਾ ਨੂੰ ਹਾਸਲ ਕਰਨ ਲਈ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਬਦਲਿਆ ਗਿਆ ਹੈ। ਮਾਲਵੇਅਰ ਨੂੰ ਬੈਂਕਿੰਗ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਵਿਲੱਖਣ ਪ੍ਰਮਾਣੀਕਰਨ ਵੇਰਵਿਆਂ ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਵਿੱਚ ਫੈਲਾਉਣ ਲਈ ਪ੍ਰੋਗਰਾਮ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਵਿੱਤੀ ਧੋਖਾਧੜੀ ਹੋ ਸਕਦੀ ਹੈ। ਇਸ ਮੁਹਿੰਮ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਪਹਿਲੀ ਵਾਰ ਜਨਵਰੀ 2024 ਵਿੱਚ ਸਾਹਮਣੇ ਆਈਆਂ ਸਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਇਹ ਖੁਲਾਸਾ ਹੋਇਆ ਸੀ ਕਿ ਹਮਲਾਵਰ ਅੱਲਾਕੋਰ RAT ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਖਤਰਨਾਕ ZIP ਪੁਰਾਲੇਖਾਂ ਨੂੰ ਫੈਲਾਉਣ ਲਈ ਫਿਸ਼ਿੰਗ ਅਤੇ ਡਰਾਈਵ-ਬਾਈ ਸਮਝੌਤਿਆਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਹੈ ਕਿ AllaKore RAT ਦੀ ਵਰਤੋਂ ਅਕਸਰ SystemBC , ਇੱਕ C-ਅਧਾਰਿਤ ਮਾਲਵੇਅਰ, ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ Windows ਮਸ਼ੀਨਾਂ ਨੂੰ SOCKS5 ਪ੍ਰੌਕਸੀਆਂ ਵਿੱਚ ਬਦਲਦਾ ਹੈ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦੇ C2 ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਲਈ ਇੱਕ ਸੁਰੱਖਿਅਤ ਸੰਚਾਰ ਸੁਰੰਗ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਰਿਫਾਈਂਡ ਟ੍ਰੇਡਕ੍ਰਾਫਟ ਅਤੇ ਜੀਓਫੈਂਸਿੰਗ ਰਣਨੀਤੀਆਂ

ਗ੍ਰੀਡੀ ਸਪੰਜ ਆਪਣੀਆਂ ਰਣਨੀਤੀਆਂ ਵਿਕਸਤ ਕਰ ਰਿਹਾ ਹੈ। 2024 ਦੇ ਅੱਧ ਤੱਕ, ਸਮੂਹ ਨੇ ਬਾਹਰੀ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਅਸਫਲ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਵਧੀਆਂ ਜੀਓਫੈਂਸਿੰਗ ਤਕਨੀਕਾਂ ਪੇਸ਼ ਕੀਤੀਆਂ। ਪਹਿਲਾਂ, ਜੀਓਫੈਂਸਿੰਗ ਜਾਂਚਾਂ ਨੂੰ ਇੱਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਮਾਈਕ੍ਰੋਸਾਫਟ ਇੰਸਟੌਲਰ (MSI) ਫਾਈਲ ਦੇ ਅੰਦਰ ਇੱਕ .NET ਡਾਊਨਲੋਡਰ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤਾ ਜਾਂਦਾ ਸੀ। ਹੁਣ, ਪਾਬੰਦੀ ਨੂੰ ਸਰਵਰ-ਸਾਈਡ 'ਤੇ ਤਬਦੀਲ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹੋਏ ਕਿ ਸਿਰਫ ਨਿਸ਼ਾਨਾ ਮੈਕਸੀਕਨ ਖੇਤਰ ਦੇ ਅੰਦਰ ਪੀੜਤਾਂ ਨੂੰ ਹੀ ਅੰਤਿਮ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਹੋਵੇ।

ਮੌਜੂਦਾ ਅਟੈਕ ਚੇਨ ਅਤੇ ਪੇਲੋਡ ਡਿਲੀਵਰੀ

ਨਵੀਨਤਮ ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਪਹਿਲਾਂ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਦੇ ਅਨੁਕੂਲ ਰਹਿੰਦੇ ਹਨ। 'Actualiza_Policy_v01.zip' ਵਰਗੀਆਂ ਖਤਰਨਾਕ ZIP ਫਾਈਲਾਂ ਵਿੱਚ ਇੱਕ ਜਾਇਜ਼ Chrome ਪ੍ਰੌਕਸੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਅਤੇ ਇੱਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ MSI ਇੰਸਟਾਲਰ ਦੋਵੇਂ ਹੁੰਦੇ ਹਨ। ਇਹ MSI AllaKore RAT ਨੂੰ ਛੱਡਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਹੇਠ ਲਿਖੀਆਂ ਸਮਰੱਥਾਵਾਂ ਸ਼ਾਮਲ ਹਨ:

• ਕੀਲੌਗਿੰਗ, ਸਕ੍ਰੀਨਸ਼ੌਟ ਕੈਪਚਰ, ਅਤੇ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ ਦਾ ਰਿਮੋਟ ਕੰਟਰੋਲ
• ਹਮਲਾਵਰ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਅਤੇ ਤੋਂ ਫਾਈਲਾਂ ਨੂੰ ਅਪਲੋਡ ਅਤੇ ਡਾਊਨਲੋਡ ਕਰਨਾ

ਇਨਫੈਕਸ਼ਨ ਨੂੰ ਸੌਖਾ ਬਣਾਉਣ ਲਈ, MSI ਇੱਕ .NET ਡਾਊਨਲੋਡਰ ਵੀ ਤੈਨਾਤ ਕਰਦਾ ਹੈ, ਜੋ ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ (manzisuape.com/amw) ਤੋਂ RAT ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਨਾਲ ਹੀ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਵੀ ਹੈ ਜੋ ਸਫਾਈ ਕਾਰਜ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ।

ਮੈਕਸੀਕੋ ਤੋਂ ਪਰੇ ਖੇਤਰੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ

ਜਦੋਂ ਕਿ ਮੈਕਸੀਕੋ ਮੁੱਖ ਨਿਸ਼ਾਨਾ ਬਣਿਆ ਹੋਇਆ ਹੈ, ਅੱਲਾਕੋਰ RAT ਰੂਪਾਂ ਨੂੰ ਵੀ ਪੂਰੇ ਲਾਤੀਨੀ ਅਮਰੀਕਾ ਵਿੱਚ ਵਰਤਿਆ ਗਿਆ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਮਈ 2024 ਵਿੱਚ, ਅੱਲਾਸੇਨਹਾ (ਉਰਫ਼ ਕਾਰਨਾਵਲਹਾਈਸਟ) ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਰੂਪ ਬ੍ਰਾਜ਼ੀਲੀਅਨ ਬੈਂਕਿੰਗ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਦੇਖਿਆ ਗਿਆ ਸੀ, ਜੋ ਕਿ ਬ੍ਰਾਜ਼ੀਲ ਦੇ ਮੂਲ ਨਿਵਾਸੀ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਸਨ।

ਲਾਲਚੀ ਸਪੰਜ: ਨਿਰੰਤਰ ਪਰ ਸੂਝਵਾਨ ਨਹੀਂ

ਚਾਰ ਸਾਲਾਂ ਤੋਂ ਵੱਧ ਸਮੇਂ ਤੱਕ ਇਸਦੀ ਕਾਰਜਸ਼ੀਲ ਸਥਿਰਤਾ ਦੇ ਬਾਵਜੂਦ, ਮਾਹਰ ਗ੍ਰੀਡੀ ਸਪੰਜ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਪਰ ਬਹੁਤ ਜ਼ਿਆਦਾ ਉੱਨਤ ਨਾ ਹੋਣ ਦੇ ਰੂਪ ਵਿੱਚ ਸ਼੍ਰੇਣੀਬੱਧ ਕਰਦੇ ਹਨ। ਸਮੂਹ ਦਾ ਤੰਗ ਭੂਗੋਲਿਕ ਫੋਕਸ ਅਤੇ ਵਿੱਤੀ ਲਾਭ ਦੀ ਵਿਸ਼ੇਸ਼ ਪ੍ਰਾਪਤੀ ਇਸਨੂੰ ਵਧੇਰੇ ਸੂਝਵਾਨ ਵਿਰੋਧੀਆਂ ਤੋਂ ਵੱਖਰਾ ਕਰਦੀ ਹੈ। ਉਨ੍ਹਾਂ ਦੇ ਬਦਲੇ ਹੋਏ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਮਾਡਲ ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਸਫਲਤਾ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਉਨ੍ਹਾਂ ਦਾ ਮੌਜੂਦਾ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਲਗਾਤਾਰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਰਿਹਾ ਹੈ, ਜਿਸ ਨਾਲ ਮਹੱਤਵਪੂਰਨ ਕਾਰਜਸ਼ੀਲ ਤਬਦੀਲੀਆਂ ਦੀ ਜ਼ਰੂਰਤ ਘੱਟ ਜਾਂਦੀ ਹੈ।