Skupina pre hackerov Greedy Sponge
Mexické organizácie naďalej čelia kybernetickým útokom finančne motivovanej skupiny známej ako Greedy Sponge, ktorá využíva modifikované varianty AllaKore RAT a SystemBC. Táto kampaň, ktorá je aktívna od začiatku roka 2021, si nerozlišuje medzi cieľmi a má vplyv na odvetvia od maloobchodu, poľnohospodárstva a zábavy až po výrobu, dopravu, verejné služby, investičné statky a bankovníctvo.
Obsah
AllaKore RAT: Nástroj pre finančné podvody
Hlavné užitočné zaťaženie, AllaKore RAT , bolo rozsiahlo upravené tak, aby zachytávalo citlivé finančné údaje. Malvér je naprogramovaný tak, aby odcudzil bankové poverenia a jedinečné autentifikačné údaje na server Command-and-Control (C2), čo umožňuje rozsiahle finančné podvody. Správy o tejto kampani sa prvýkrát objavili v januári 2024 a odhalili, že útočníci sa spoliehajú na phishing a drive-by kompromitácie na šírenie škodlivých ZIP archívov určených na nasadenie AllaKore RAT.
Výskumníci zistili, že AllaKore RAT sa často používa na doručovanie SystemBC , malvéru založeného na jazyku C, ktorý prevádza napadnuté počítače so systémom Windows na proxy servery SOCKS5 a poskytuje útočníkom bezpečný komunikačný tunel k ich infraštruktúre C2.
Zdokonalené taktiky obchodu a geofencingu
Greedy Sponge vyvíja svoju taktiku. Do polovice roka 2024 skupina zaviedla vylepšené techniky geofencingu zamerané na zmarenie externej analýzy. Predtým boli kontroly geofencingu vložené do sťahovacieho programu .NET v rámci inštalačného súboru Microsoft (MSI) napadnutého trójskym koňom. Teraz bolo toto obmedzenie presunuté na stranu servera, čím sa zabezpečí, že finálnu inštaláciu dostanú iba obete v cieľovom mexickom regióne.
Aktuálny reťazec útokov a doručenie užitočného zaťaženia
Najnovšie útočné sekvencie zostávajú konzistentné s predchádzajúcimi kampaňami. Škodlivé ZIP súbory, ako napríklad „Actualiza_Policy_v01.zip“, obsahujú legitímny spustiteľný súbor proxy prehliadača Chrome aj inštalačný súbor MSI napadnutý trojanmi. Tento súbor MSI je navrhnutý tak, aby odstránil vírus AllaKore RAT, ktorý obsahuje funkcie ako:
- Keylogging, snímanie obrazovky a diaľkové ovládanie infikovaných systémov
- Nahrávanie a sťahovanie súborov do a z infraštruktúry útočníka
Na uľahčenie infekcie MSI tiež nasadzuje .NET downloader, ktorý načíta RAT z externého servera (manzisuape.com/amw), spolu so skriptom PowerShell určeným na vykonávanie čistiacich operácií.
Regionálne zacielenie mimo Mexika
Hoci hlavným cieľom zostáva Mexiko, varianty AllaKore RAT sa používajú aj v celej Latinskej Amerike. Je pozoruhodné, že v máji 2024 bol pozorovaný variant známy ako AllaSenha (tiež známy ako CarnavalHeist), ktorý sa zameriaval na brazílske bankové inštitúcie prevádzkované aktérmi hrozbami pochádzajúcimi z Brazílie.
Chamtivá špongia: Vytrvalá, ale nie sofistikovaná
Napriek tomu, že skupina Greedy Sponge pôsobí už štyri roky, odborníci ju klasifikujú ako efektívnu, ale nie veľmi pokročilú. Úzke geografické zameranie skupiny a jej výlučná snaha o finančný zisk ju odlišujú od sofistikovanejších protivníkov. Ich nezmenené modely infraštruktúry a dlhodobý úspech naznačujú, že ich súčasný prístup je konzistentne efektívny, čo znižuje potrebu výrazných operačných zmien.
