Группа хакеров Greedy Sponge
Мексиканские организации продолжают подвергаться кибератакам со стороны финансово мотивированной группировки Greedy Sponge, использующей модифицированные версии AllaKore RAT и SystemBC. Эта кампания, действующая с начала 2021 года, неизбирательна в выборе целей и затрагивает различные отрасли: от розничной торговли, сельского хозяйства и индустрии развлечений до обрабатывающей промышленности, транспорта, государственных услуг, производства капитальных товаров и банковского дела.
Оглавление
AllaKore RAT: инструмент для финансового мошенничества
Основная полезная нагрузка, AllaKore RAT , была значительно изменена для захвата конфиденциальных финансовых данных. Вредоносное ПО запрограммировано на кражу банковских учётных данных и уникальных данных аутентификации на сервер управления и контроля (C2), что позволяет осуществлять крупномасштабное финансовое мошенничество. Сообщения об этой кампании впервые появились в январе 2024 года. Из них следует, что злоумышленники используют фишинг и скрытые атаки для распространения вредоносных ZIP-архивов, предназначенных для развертывания AllaKore RAT.
Исследователи заметили, что AllaKore RAT часто используется для доставки SystemBC , вредоносного ПО на языке C, которое преобразует взломанные машины Windows в прокси-серверы SOCKS5, предоставляя злоумышленникам безопасный туннель связи с их инфраструктурой C2.
Усовершенствованная тактика торговли и геозонирования
Greedy Sponge совершенствовала свою тактику. К середине 2024 года группировка внедрила усовершенствованные методы геозонирования, направленные на блокировку внешнего анализа. Ранее проверки геозонирования были встроены в загрузчик .NET в троянизированном файле установщика Microsoft (MSI). Теперь ограничение перенесено на серверную часть, что гарантирует, что финальную полезную нагрузку получат только жертвы, находящиеся в целевом регионе Мексики.
Текущая цепочка атак и доставка полезной нагрузки
Последние последовательности атак соответствуют предыдущим кампаниям. Вредоносные ZIP-файлы, такие как Actualiza_Policy_v01.zip, содержат как легитимный исполняемый файл прокси-сервера Chrome, так и троянизированный установщик MSI. Этот MSI-файл разработан для внедрения AllaKore RAT, который включает в себя такие возможности, как:
- Кейлоггерство, захват снимков экрана и удаленное управление зараженными системами
- Загрузка и выгрузка файлов в инфраструктуру злоумышленника и из нее
Для облегчения заражения MSI также развертывает загрузчик .NET, который извлекает RAT с внешнего сервера (manzisuape.com/amw), а также скрипт PowerShell, предназначенный для выполнения операций по очистке.
Региональный таргетинг за пределами Мексики
Хотя Мексика остаётся основной целью, варианты RAT AllaKore также использовались по всей Латинской Америке. В частности, в мае 2024 года был замечен вариант AllaSenha (он же CarnavalHeist), атаковавший бразильские банковские учреждения. Операторами злоумышленников были выходцы из Бразилии.
Жадная губка: настойчивая, но не изощренная
Несмотря на четырёхлетнюю операционную устойчивость, эксперты оценивают Greedy Sponge как эффективную, но не слишком продвинутую. Узкая географическая направленность группировки и её исключительная нацеленность на финансовую выгоду отличают её от более изощрённых противников. Неизменные инфраструктурные модели и долгосрочный успех свидетельствуют о неизменной эффективности текущего подхода, что снижает необходимость в значительных изменениях в операционной деятельности.
