Grupul de hacking cu burete lacom
Organizațiile mexicane continuă să se confrunte cu atacuri cibernetice din partea unui grup motivat financiar, cunoscut sub numele de Greedy Sponge, care utilizează variante modificate ale AllaKore RAT și SystemBC. Activă de la începutul anului 2021, această campanie este nediscriminatorie în alegerea țintelor, afectând industrii variind de la comerțul cu amănuntul, agricultură și divertisment până la producție, transporturi, servicii publice, bunuri de capital și servicii bancare.
Cuprins
AllaKore RAT: Un instrument pentru frauda financiară
Sarcina utilă principală, AllaKore RAT , a fost modificată extensiv pentru a captura date financiare sensibile. Programul malware este programat să exfiltreze acreditările bancare și detaliile unice de autentificare către un server de comandă și control (C2), permițând fraude financiare la scară largă. Rapoartele despre această campanie au apărut pentru prima dată în ianuarie 2024, dezvăluind că atacatorii se bazează pe phishing și compromisuri drive-by pentru a răspândi arhive ZIP malițioase concepute pentru a implementa AllaKore RAT.
Cercetătorii au observat că AllaKore RAT este adesea folosit pentru a livra SystemBC , un malware bazat pe C care convertește mașinile Windows compromise în proxy-uri SOCKS5, oferind atacatorilor un tunel de comunicare securizat către infrastructura lor C2.
Tactici rafinate de Tradecraft și Geofencing
Greedy Sponge și-a dezvoltat tacticile. Până la mijlocul anului 2024, grupul a introdus tehnici îmbunătățite de geofencing menite să împiedice analiza externă. Anterior, verificările de geofencing erau încorporate într-un program de descărcare .NET dintr-un fișier de instalare Microsoft (MSI) troianizat. Acum, restricția a fost mutată pe partea de server, asigurându-se că doar victimele din regiunea mexicană vizată primesc sarcina utilă finală.
Lanțul de atac actual și livrarea sarcinii utile
Cele mai recente secvențe de atac rămân în concordanță cu campaniile anterioare. Fișierele ZIP rău intenționate, cum ar fi „Actualiza_Policy_v01.zip”, conțin atât un executabil proxy Chrome legitim, cât și un program de instalare MSI troianizat. Acest MSI este conceput pentru a elimina AllaKore RAT, care include capabilități precum:
- Înregistrarea tastelor, capturarea capturilor de ecran și controlul de la distanță al sistemelor infectate
- Încărcarea și descărcarea fișierelor către și de la infrastructura atacatorului
Pentru a facilita infectarea, MSI implementează și un program de descărcare .NET, care preia fișierul RAT de pe un server extern (manzisuape.com/amw), împreună cu un script PowerShell conceput pentru a efectua operațiuni de curățare.
Direcționare regională dincolo de Mexic
Deși Mexicul rămâne principala țintă, variantele AllaKore RAT au fost folosite și în America Latină. În special, în mai 2024, o variantă cunoscută sub numele de AllaSenha (cunoscută și sub numele de CarnavalHeist) a fost observată vizând instituții bancare braziliene, operate de actori de amenințare originari din Brazilia.
Burete lacom: persistent, dar nu sofisticat
În ciuda persistenței sale operaționale de-a lungul a patru ani, experții clasifică Greedy Sponge ca fiind eficient, dar nu foarte avansat. Concentrarea geografică restrânsă a grupului și urmărirea exclusivă a câștigurilor financiare îl disting de adversarii mai sofisticați. Modelele lor de infrastructură neschimbate și succesul pe termen lung indică faptul că abordarea lor actuală a fost constant eficientă, reducând necesitatea unor schimbări operaționale semnificative.
