Giriga Sponge Hacking Group
Mexikanska organisationer fortsätter att utsättas för cyberattacker från en ekonomiskt motiverad grupp som kallas Greedy Sponge, som utnyttjar modifierade varianter av AllaKore RAT och SystemBC. Denna kampanj, som varit aktiv sedan början av 2021, är urskillningslös i sitt val av mål och påverkar branscher som sträcker sig från detaljhandel, jordbruk och underhållning till tillverkning, transport, offentliga tjänster, kapitalvaror och bankverksamhet.
Innehållsförteckning
AllaKore RAT: Ett verktyg för ekonomiskt bedrägeri
Kärnnyttolasten, AllaKore RAT , har genomgått omfattande modifieringar för att fånga upp känslig finansiell data. Skadlig programvara är programmerad att strö bankuppgifter och unika autentiseringsuppgifter till en kommando-och-kontrollserver (C2), vilket möjliggör storskaliga finansiella bedrägerier. Rapporter om denna kampanj dök först upp i januari 2024 och avslöjade att angriparna förlitar sig på nätfiske och drive-by-komprometteringar för att sprida skadliga ZIP-arkiv utformade för att driftsätta AllaKore RAT.
Forskare har observerat att AllaKore RAT ofta används för att leverera SystemBC , en C-baserad skadlig kod som konverterar komprometterade Windows-maskiner till SOCKS5-proxyservrar, vilket ger angriparna en säker kommunikationstunnel till deras C2-infrastruktur.
Förfinade hantverks- och geofencing-taktik
Greedy Sponge har utvecklat sina taktiker. I mitten av 2024 introducerade gruppen förbättrade geofencing-tekniker som syftar till att motverka extern analys. Tidigare bäddades geofencing-kontroller in i en .NET-nedladdare i en trojaniserad Microsoft-installationsfil (MSI). Nu har begränsningen flyttats till serversidan, vilket säkerställer att endast offer inom den riktade mexikanska regionen får den slutliga nyttolasten.
Nuvarande attackkedja och nyttolastleverans
De senaste attacksekvenserna är i linje med tidigare kampanjer. Skadliga ZIP-filer, som 'Actualiza_Policy_v01.zip', innehåller både en legitim körbar Chrome-proxyfil och ett trojanerat MSI-installationsprogram. Denna MSI är konstruerad för att ta bort AllaKore RAT, vilket inkluderar funktioner som:
- Keylogging, skärmdumpstagning och fjärrstyrning av infekterade system
- Uppladdning och nedladdning av filer till och från angriparens infrastruktur
För att underlätta infektionen distribuerar MSI även en .NET-nedladdare, som hämtar RAT från en extern server (manzisuape.com/amw), tillsammans med ett PowerShell-skript utformat för att utföra rensningsåtgärder.
Regional inriktning bortom Mexiko
Medan Mexiko fortfarande är det primära målet, har AllaKore RAT-varianter också använts i hela Latinamerika. Det är värt att notera att i maj 2024 observerades en variant känd som AllaSenha (även känd som CarnavalHeist) riktad mot brasilianska bankinstitut, som drivs av hotaktörer med ursprung i Brasilien.
Girig svamp: Ihärdig men inte sofistikerad
Trots att företaget har varit operativt i över fyra år klassificerar experter Greedy Sponge som effektivt men inte särskilt avancerat. Gruppens snäva geografiska fokus och exklusiva strävan efter ekonomisk vinning skiljer det från mer sofistikerade motståndare. Deras oförändrade infrastrukturmodeller och långsiktiga framgångar indikerar att deras nuvarande tillvägagångssätt har varit konsekvent effektivt, vilket minskar behovet av betydande operativa förändringar.
