Skupina za hekanje pohlepnih gobic
Mehiške organizacije se še naprej soočajo s kibernetskimi napadi finančno motivirane skupine Greedy Sponge, ki uporablja spremenjene različice AllaKore RAT in SystemBC. Ta kampanja, ki je aktivna od začetka leta 2021, ne izbira tarč in vpliva na različne panoge, od trgovine na drobno, kmetijstva in zabave do proizvodnje, prometa, javnih storitev, investicijskih dobrin in bančništva.
Kazalo
AllaKore RAT: Orodje za finančne goljufije
Osrednji del programske opreme, AllaKore RAT , je bil obsežno spremenjen za zajemanje občutljivih finančnih podatkov. Zlonamerna programska oprema je programirana tako, da na strežnik Command-and-Control (C2) ukrade bančne poverilnice in edinstvene podatke za preverjanje pristnosti, kar omogoča obsežne finančne goljufije. Poročila o tej kampanji so se prvič pojavila januarja 2024 in razkrivajo, da se napadalci za širjenje zlonamernih ZIP-arhivov, namenjenih namestitvi AllaKore RAT, zanašajo na lažno predstavljanje in vdore s strani uporabnikov.
Raziskovalci so opazili, da se AllaKore RAT pogosto uporablja za dostavo SystemBC , zlonamerne programske opreme, ki temelji na jeziku C in pretvarja ogrožene računalnike z operacijskim sistemom Windows v posredniške strežnike SOCKS5, kar napadalcem zagotavlja varen komunikacijski tunel do njihove infrastrukture C2.
Izpopolnjene taktike trgovanja in geofencinga
Greedy Sponge je razvijal svoje taktike. Do sredine leta 2024 je skupina uvedla izboljšane tehnike geofencinga, katerih cilj je preprečiti zunanjo analizo. Prej so bila preverjanja geofencinga vdelana v program za prenos .NET znotraj trojanske namestitvene datoteke Microsoft (MSI). Zdaj je bila omejitev premaknjena na stran strežnika, kar zagotavlja, da končni koristni tovor prejmejo le žrtve znotraj ciljne mehiške regije.
Trenutna napadalna veriga in dostava koristnega tovora
Najnovejša zaporedja napadov ostajajo skladna s prejšnjimi kampanjami. Zlonamerne datoteke ZIP, kot je »Actualiza_Policy_v01.zip«, vsebujejo tako legitimno izvedljivo datoteko proxyja za Chrome kot tudi namestitveni program MSI, okužen s trojanci. Ta MSI je zasnovan tako, da odstrani virus AllaKore RAT, ki vključuje zmogljivosti, kot so:
- Keylogging, zajem zaslona in daljinsko upravljanje okuženih sistemov
- Nalaganje in prenašanje datotek v in iz napadalčeve infrastrukture
Za lažjo okužbo MSI namesti tudi program za prenos .NET, ki pridobi RAT z zunanjega strežnika (manzisuape.com/amw), skupaj s skriptom PowerShell, zasnovanim za izvajanje operacij čiščenja.
Regionalno ciljanje zunaj Mehike
Čeprav Mehika ostaja glavna tarča, so bile različice AllaKore RAT uporabljene tudi po vsej Latinski Ameriki. Omeniti velja, da je bila maja 2024 opažena različica, znana kot AllaSenha (znana tudi kot CarnavalHeist), ki je ciljala na brazilske bančne institucije, ki jih upravljajo akterji z virusom, domačini iz Brazilije.
Pohlepna goba: Vztrajna, a ne prefinjena
Kljub štiriletni operativni vztrajnosti strokovnjaki Greedy Sponge uvrščajo med učinkovite, a ne zelo napredne. Ozka geografska osredotočenost skupine in izključno prizadevanje za finančni dobiček jo loči od bolj sofisticiranih nasprotnikov. Njihovi nespremenjeni infrastrukturni modeli in dolgoročni uspeh kažejo, da je bil njihov trenutni pristop dosledno učinkovit, kar je zmanjšalo potrebo po pomembnih operativnih spremembah.
