Група за хаковање похлепних сунђера
Мексичке организације се и даље суочавају са сајбер нападима финансијски мотивисане групе познате као Greedy Sponge, која користи модификоване варијанте AllaKore RAT-а и SystemBC-а. Активна од почетка 2021. године, ова кампања је неселективна у избору мета, утичући на индустрије од малопродаје, пољопривреде и забаве до производње, транспорта, јавних услуга, капиталних добара и банкарства.
Преглед садржаја
AllaKore RAT: Алат за финансијске преваре
Основни корисни садржај, AllaKore RAT , је значајно измењен како би се прикупили осетљиви финансијски подаци. Злонамерни програм је програмиран да извуче банкарске акредитиве и јединствене детаље за аутентификацију на командни и контролни (C2) сервер, омогућавајући финансијске преваре великих размера. Извештаји о овој кампањи први пут су се појавили у јануару 2024. године, откривајући да се нападачи ослањају на фишинг и „drive-by“ компромисе како би ширили злонамерне ZIP архиве дизајниране за имплементацију AllaKore RAT-а.
Истраживачи су приметили да се AllaKore RAT често користи за испоруку SystemBC-а , злонамерног софтвера заснованог на C-у који претвара компромитоване Windows машине у SOCKS5 проксије, пружајући нападачима безбедан комуникациони тунел до њихове C2 инфраструктуре.
Усавршене тактике занатства и геофенсинга
Греди Сунђер је развијао своју тактику. До средине 2024. године, група је увела побољшане технике геофенсинга усмерене на спречавање спољне анализе. Раније су провере геофенсинга биле уграђене у .NET програм за преузимање унутар тројанизоване Мајкрософтове инсталационе датотеке (MSI). Сада је ограничење премештено на страну сервера, осигуравајући да само жртве унутар циљаног мексичког региона приме коначни корисни терет.
Тренутни ланац напада и испорука корисног терета
Најновије секвенце напада остају конзистентне са ранијим кампањама. Злонамерне ZIP датотеке, као што је „Actualiza_Policy_v01.zip“, садрже и легитимни извршни прокси извршни фајл за Chrome и инсталатер заражен тројанцима. Овај MSI је дизајниран да уклони AllaKore RAT, који укључује могућности као што су:
- Записивање кликова са тастера, снимање екрана и даљинско управљање зараженим системима
- Отпремање и преузимање датотека на и са инфраструктуре нападача
Да би олакшао инфекцију, MSI такође користи .NET програм за преузимање, који преузима RAT са екстерног сервера (manzisuape.com/amw), заједно са PowerShell скриптом дизајнираном за обављање операција чишћења.
Регионално циљање ван Мексика
Иако Мексико остаје примарна мета, варијанте AllaKore RAT-а су такође коришћене широм Латинске Америке. Приметно је да је у мају 2024. године примећена варијанта позната као AllaSenha (позната и као CarnavalHeist) која је циљала бразилске банкарске институције, којима управљају актери претње пореклом из Бразила.
Похлепни сунђер: Упоран, али не и софистициран
Упркос оперативној истрајности током четири године, стручњаци класификују Greedy Sponge као ефикасну, али не и веома напредну групу. Уски географски фокус групе и искључива тежња ка финансијској добити разликују је од софистициранијих противника. Њихови непромењени инфраструктурни модели и дугорочни успех указују на то да је њихов тренутни приступ био доследно ефикасан, смањујући потребу за значајним оперативним променама.
