กลุ่มแฮ็กเกอร์ฟองน้ำโลภมาก

องค์กรต่างๆ ในเม็กซิโกยังคงเผชิญกับการโจมตีทางไซเบอร์จากกลุ่ม Greedy Sponge ที่ต้องการแสวงหาผลประโยชน์ทางการเงิน ซึ่งใช้ประโยชน์จาก AllaKore RAT และ SystemBC เวอร์ชันดัดแปลง แคมเปญนี้เริ่มดำเนินการมาตั้งแต่ต้นปี 2564 โดยมีเป้าหมายที่ชัดเจนในการเลือกเป้าหมาย ส่งผลกระทบต่ออุตสาหกรรมต่างๆ ตั้งแต่ค้าปลีก เกษตรกรรม และบันเทิง ไปจนถึงการผลิต การขนส่ง บริการสาธารณะ สินค้าทุน และธนาคาร

AllaKore RAT: เครื่องมือสำหรับการฉ้อโกงทางการเงิน

เพย์โหลดหลัก AllaKore RAT ได้รับการปรับเปลี่ยนอย่างกว้างขวางเพื่อดักจับข้อมูลทางการเงินที่ละเอียดอ่อน มัลแวร์ถูกตั้งโปรแกรมให้ขโมยข้อมูลประจำตัวธนาคารและรายละเอียดการยืนยันตัวตนเฉพาะไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ทำให้เกิดการฉ้อโกงทางการเงินขนาดใหญ่ รายงานเกี่ยวกับแคมเปญนี้ปรากฏขึ้นครั้งแรกในเดือนมกราคม 2567 โดยเปิดเผยว่าผู้โจมตีอาศัยการฟิชชิ่งและการบุกรุกแบบ Drive-by เพื่อแพร่กระจายไฟล์ ZIP ที่เป็นอันตรายซึ่งออกแบบมาเพื่อติดตั้ง AllaKore RAT

นักวิจัยได้สังเกตว่า AllaKore RAT มักถูกใช้เพื่อส่งมอบ SystemBC ซึ่งเป็นมัลแวร์ที่ใช้ C ซึ่งแปลงเครื่อง Windows ที่ถูกบุกรุกให้เป็นพร็อกซี SOCKS5 โดยมอบอุโมงค์การสื่อสารที่ปลอดภัยให้กับผู้โจมตีไปยังโครงสร้างพื้นฐาน C2 ของพวกเขา

การค้าที่ได้รับการปรับปรุงและกลยุทธ์ Geofencing

Greedy Sponge ได้พัฒนากลยุทธ์อย่างต่อเนื่อง ภายในกลางปี 2024 กลุ่มนี้ได้นำเทคนิค geofencing ที่ได้รับการปรับปรุงมาใช้ ซึ่งมีเป้าหมายเพื่อขัดขวางการวิเคราะห์จากภายนอก ก่อนหน้านี้ การตรวจสอบ geofencing จะถูกฝังไว้ในโปรแกรมดาวน์โหลด .NET ภายในไฟล์ติดตั้ง Microsoft (MSI) ที่ถูกโทรจัน ปัจจุบัน ข้อจำกัดดังกล่าวได้ถูกย้ายไปที่ฝั่งเซิร์ฟเวอร์ เพื่อให้มั่นใจว่าเฉพาะเหยื่อภายในภูมิภาคเม็กซิโกที่เป็นเป้าหมายเท่านั้นที่จะได้รับเพย์โหลดสุดท้าย

ห่วงโซ่การโจมตีปัจจุบันและการส่งมอบเพย์โหลด

ลำดับการโจมตีล่าสุดยังคงสอดคล้องกับแคมเปญก่อนหน้านี้ ไฟล์ ZIP ที่เป็นอันตราย เช่น 'Actualiza_Policy_v01.zip' มีทั้งไฟล์ปฏิบัติการพร็อกซี Chrome ที่ถูกต้องตามกฎหมายและโปรแกรมติดตั้ง MSI ที่เป็นโทรจัน MSI นี้ได้รับการออกแบบมาให้กำจัด AllaKore RAT ซึ่งประกอบด้วยคุณสมบัติต่างๆ เช่น:

• การบันทึกคีย์ การจับภาพหน้าจอ และการควบคุมระบบที่ติดไวรัสจากระยะไกล
• การอัพโหลดและดาวน์โหลดไฟล์ไปและจากโครงสร้างพื้นฐานของผู้โจมตี

เพื่ออำนวยความสะดวกในการติดไวรัส MSI ยังปรับใช้ตัวดาวน์โหลด .NET ซึ่งดึง RAT จากเซิร์ฟเวอร์ภายนอก (manzisuape.com/amw) พร้อมกับสคริปต์ PowerShell ที่ออกแบบมาเพื่อดำเนินการล้างข้อมูล

การกำหนดเป้าหมายระดับภูมิภาคนอกเหนือจากเม็กซิโก

แม้ว่าเม็กซิโกยังคงเป็นเป้าหมายหลัก แต่ไวรัส RAT สายพันธุ์ AllaKore ก็ถูกนำไปใช้ในละตินอเมริกาเช่นกัน โดยเฉพาะอย่างยิ่งในเดือนพฤษภาคม 2567 ไวรัสสายพันธุ์หนึ่งที่รู้จักกันในชื่อ AllaSenha (หรือ CarnavalHeist) ถูกตรวจพบว่าโจมตีสถาบันการเงินของบราซิล ซึ่งดำเนินการโดยผู้ก่อภัยคุกคามที่มีถิ่นกำเนิดในบราซิล

ฟองน้ำโลภ: มุ่งมั่นแต่ไม่ซับซ้อน

แม้จะมีการดำเนินงานอย่างต่อเนื่องมาเป็นเวลาสี่ปี แต่ผู้เชี่ยวชาญกลับมองว่า Greedy Sponge มีประสิทธิภาพแต่ยังไม่ก้าวหน้ามากนัก ขอบเขตทางภูมิศาสตร์ที่แคบและการแสวงหาผลประโยชน์ทางการเงินเพียงอย่างเดียวของกลุ่มนี้ แตกต่างจากคู่แข่งที่มีความซับซ้อนมากกว่า รูปแบบโครงสร้างพื้นฐานที่ไม่เปลี่ยนแปลงและความสำเร็จในระยะยาวบ่งชี้ว่าแนวทางปัจจุบันของพวกเขามีประสิทธิภาพอย่างต่อเนื่อง ช่วยลดความจำเป็นในการเปลี่ยนแปลงการดำเนินงานครั้งใหญ่