Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Greedy Sponge Hacking Group

Greedy Sponge Hacking Group

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware, Mjetet e administrimit në distancë
Përkthe në:

Organizatat meksikane vazhdojnë të përballen me sulme kibernetike nga një grup i motivuar financiarisht i njohur si Greedy Sponge, i cili po përdor variante të modifikuara të AllaKore RAT dhe SystemBC. Aktive që nga fillimi i vitit 2021, kjo fushatë është pa dallim në zgjedhjen e objektivave të saj, duke ndikuar në industri që variojnë nga shitja me pakicë, bujqësia dhe argëtimi deri te prodhimi, transporti, shërbimet publike, mallrat kapitale dhe bankat.

AllaKore RAT: Një mjet për mashtrim financiar

Ngarkesa kryesore, AllaKore RAT , është ndryshuar gjerësisht për të kapur të dhëna të ndjeshme financiare. Malware është programuar për të nxjerrë kredencialet bankare dhe detajet unike të vërtetimit në një server Command-and-Control (C2), duke mundësuar mashtrim financiar në shkallë të gjerë. Raportet e kësaj fushate u shfaqën për herë të parë në janar 2024, duke zbuluar se sulmuesit mbështeten në phishing dhe kompromiset drive-by për të përhapur arkivat ZIP keqdashëse të dizajnuara për të vendosur AllaKore RAT.

Studiuesit kanë vërejtur se AllaKore RAT përdoret shpesh për të ofruar SystemBC , një malware të bazuar në C që konverton makinat e kompromentuara me Windows në proxy SOCKS5, duke u siguruar sulmuesve një tunel komunikimi të sigurt në infrastrukturën e tyre C2.

Taktika të rafinuara të artizanatit dhe gjeofencimit

Greedy Sponge ka qenë duke evoluar taktikat e tij. Deri në mesin e vitit 2024, grupi prezantoi teknika të përmirësuara të gjeofencimit që synonin pengimin e analizave të jashtme. Më parë, kontrollet e gjeofencimit ishin të integruara në një shkarkues .NET brenda një skedari instalues të Microsoft (MSI) të trojanizuar. Tani, kufizimi është zhvendosur në anën e serverit, duke siguruar që vetëm viktimat brenda rajonit të synuar meksikan të marrin ngarkesën përfundimtare.

Zinxhiri aktual i sulmit dhe shpërndarja e ngarkesës

Sekuencat e fundit të sulmeve mbeten në përputhje me fushatat e mëparshme. Skedarët ZIP keqdashës, të tillë si 'Actualiza_Policy_v01.zip', përmbajnë si një skedar të ligjshëm ekzekutues proxy Chrome ashtu edhe një instalues MSI të trojanizuar. Ky MSI është projektuar për të hequr AllaKore RAT, i cili përfshin aftësi të tilla si:

  • Regjistrimi i tasteve, kapja e ekranit të ekranit dhe kontrolli në distancë i sistemeve të infektuara
  • Ngarkimi dhe shkarkimi i skedarëve në dhe nga infrastruktura e sulmuesit

Për të lehtësuar infeksionin, MSI gjithashtu vendos një shkarkues .NET, i cili merr RAT nga një server i jashtëm (manzisuape.com/amw), së bashku me një skript PowerShell të projektuar për të kryer operacione pastrimi.

Targetimi Rajonal Përtej Meksikës

Ndërsa Meksika mbetet objektivi kryesor, variantet e AllaKore RAT janë përdorur gjithashtu në të gjithë Amerikën Latine. Veçanërisht, në maj 2024, një variant i njohur si AllaSenha (i njohur edhe si CarnavalHeist) u vu re duke synuar institucionet bankare braziliane, të operuara nga aktorë kërcënimi vendas në Brazil.

Sfungjeri i babëzitur: Këmbëngulës, por jo i sofistikuar

Pavarësisht këmbënguljes së tij operacionale për më shumë se katër vjet, ekspertët e klasifikojnë Greedy Sponge si efektiv, por jo shumë të përparuar. Fokusi i ngushtë gjeografik i grupit dhe ndjekja ekskluzive e përfitimit financiar e dallojnë atë nga kundërshtarët më të sofistikuar. Modelet e tyre të pandryshuara të infrastrukturës dhe suksesi afatgjatë tregojnë se qasja e tyre aktuale ka qenë vazhdimisht efektive, duke zvogëluar nevojën për ndryshime të rëndësishme operacionale.

Në trend

Më e shikuara

Po ngarkohet...