Chciwa grupa hakerska Sponge
Meksykańskie organizacje nadal padają ofiarą cyberataków ze strony grupy o motywacji finansowej Greedy Sponge, która wykorzystuje zmodyfikowane warianty AllaKore RAT i SystemBC. Kampania, działająca od początku 2021 roku, nie jest wybiórcza pod względem celów, dotykając sektorów takich jak handel detaliczny, rolnictwo i rozrywka, produkcja, transport, usługi publiczne, dobra inwestycyjne i bankowość.
Spis treści
AllaKore RAT: narzędzie do oszustw finansowych
Główny ładunek, AllaKore RAT , został gruntownie zmodyfikowany w celu przechwytywania poufnych danych finansowych. Szkodliwe oprogramowanie jest zaprogramowane tak, aby wykradać dane uwierzytelniające i unikalne dane uwierzytelniające bank na serwer Command-and-Control (C2), umożliwiając oszustwa finansowe na dużą skalę. Raporty o tej kampanii pojawiły się po raz pierwszy w styczniu 2024 roku i ujawniły, że atakujący wykorzystują ataki phishingowe i ataki drive-by do rozprzestrzeniania złośliwych archiwów ZIP, zaprojektowanych w celu wdrożenia AllaKore RAT.
Badacze zaobserwowali, że AllaKore RAT jest często używany do dostarczania SystemBC , złośliwego oprogramowania opartego na języku C, które konwertuje zainfekowane komputery z systemem Windows na serwery proxy SOCKS5, zapewniając atakującym bezpieczny tunel komunikacyjny do ich infrastruktury C2.
Udoskonalone techniki handlowe i taktyki geofencingu
Greedy Sponge udoskonala swoją taktykę. W połowie 2024 roku grupa wprowadziła ulepszone techniki geofencingu, mające na celu uniemożliwienie analizy zewnętrznej. Wcześniej kontrole geofencingu były osadzone w programie pobierającym .NET w zainfekowanym pliku instalatora Microsoft (MSI). Teraz ograniczenie zostało przeniesione na serwer, zapewniając, że ostateczny ładunek otrzymają tylko ofiary z regionu Meksyku.
Aktualny łańcuch ataku i dostarczanie ładunku
Najnowsze sekwencje ataków są zgodne z wcześniejszymi kampaniami. Złośliwe pliki ZIP, takie jak „Actualiza_Policy_v01.zip”, zawierają zarówno legalny plik wykonywalny proxy Chrome, jak i zainfekowany instalator MSI. Ten plik MSI został zaprojektowany tak, aby unieszkodliwiać program AllaKore RAT, który obejmuje takie funkcje, jak:
- Rejestrowanie klawiszy, przechwytywanie zrzutów ekranu i zdalna kontrola zainfekowanych systemów
- Przesyłanie i pobieranie plików do i z infrastruktury atakującego
Aby ułatwić infekcję, MSI wdraża również program pobierający .NET, który pobiera RAT z zewnętrznego serwera (manzisuape.com/amw) wraz ze skryptem programu PowerShell przeznaczonym do przeprowadzania operacji czyszczenia.
Regionalne ukierunkowanie poza Meksykiem
Chociaż Meksyk pozostaje głównym celem, warianty wirusa AllaKore RAT były również wykorzystywane w Ameryce Łacińskiej. Warto zauważyć, że w maju 2024 roku wariant znany jako AllaSenha (znany również jako CarnavalHeist) został zaobserwowany jako atak na brazylijskie instytucje bankowe, obsługiwany przez cyberprzestępców pochodzących z Brazylii.
Chciwa gąbka: wytrwała, ale nie wyrafinowana
Pomimo ponad czteroletniej działalności operacyjnej, eksperci klasyfikują Greedy Sponge jako grupę skuteczną, ale niezbyt zaawansowaną. Wąski zasięg geograficzny grupy i wyłączne dążenie do zysku finansowego wyróżniają ją na tle bardziej zaawansowanych konkurentów. Niezmienne modele infrastrukturalne i długoterminowy sukces wskazują, że obecne podejście jest konsekwentnie skuteczne, ograniczając potrzebę znaczących zmian operacyjnych.
