Greedy Sponge Hacking Group
Ang mga organisasyong Mexican ay patuloy na nahaharap sa mga cyberattack mula sa isang financially motivated na grupo na kilala bilang Greedy Sponge, na gumagamit ng mga binagong variant ng AllaKore RAT at SystemBC. Aktibo mula noong unang bahagi ng 2021, ang kampanyang ito ay walang pinipili sa pagpili ng mga target, na nakakaapekto sa mga industriya mula sa retail, agrikultura, at entertainment hanggang sa pagmamanupaktura, transportasyon, pampublikong serbisyo, capital goods, at pagbabangko.
Talaan ng mga Nilalaman
AllaKore RAT: Isang Tool para sa Panloloko sa Pinansyal
Ang pangunahing payload, AllaKore RAT , ay malawakang binago upang makuha ang sensitibong data sa pananalapi. Ang malware ay naka-program upang i-exfiltrate ang mga kredensyal sa pagbabangko at mga natatanging detalye ng pagpapatotoo sa isang Command-and-Control (C2) server, na nagpapagana ng malakihang pandaraya sa pananalapi. Ang mga ulat ng campaign na ito ay unang lumabas noong Enero 2024, na nagpapakita na ang mga umaatake ay umaasa sa phishing at drive-by na mga kompromiso upang maikalat ang mga nakakahamak na ZIP archive na idinisenyo upang i-deploy ang AllaKore RAT.
Naobserbahan ng mga mananaliksik na ang AllaKore RAT ay kadalasang ginagamit upang ihatid ang SystemBC , isang C-based na malware na nagko-convert ng mga nakompromisong Windows machine sa SOCKS5 proxies, na nagbibigay sa mga umaatake ng isang secure na tunnel ng komunikasyon sa kanilang imprastraktura ng C2.
Pinong Tradecraft at Geofencing Tactics
Ang Greedy Sponge ay nagbabago ng mga taktika nito. Sa kalagitnaan ng 2024, ipinakilala ng grupo ang pinahusay na mga diskarte sa geofencing na naglalayong hadlangan ang panlabas na pagsusuri. Dati, ang mga pagsusuri sa geofencing ay naka-embed sa isang .NET downloader sa loob ng isang trojanized na Microsoft installer (MSI) file. Ngayon, ang paghihigpit ay inilipat sa server-side, tinitiyak na ang mga biktima lamang sa loob ng target na rehiyon ng Mexico ang makakatanggap ng panghuling payload.
Kasalukuyang Attack Chain at Payload Delivery
Ang mga pinakabagong pagkakasunud-sunod ng pag-atake ay nananatiling pare-pareho sa mga naunang kampanya. Ang mga nakakahamak na ZIP file, gaya ng 'Actualiza_Policy_v01.zip,' ay naglalaman ng parehong lehitimong Chrome proxy executable at isang trojanized MSI installer. Ang MSI na ito ay inihanda para i-drop ang AllaKore RAT, na kinabibilangan ng mga kakayahan tulad ng:
- Keylogging, screenshot capture, at remote control ng mga nahawaang system
- Pag-upload at pag-download ng mga file papunta at mula sa imprastraktura ng umaatake
Upang mapadali ang impeksyon, nag-deploy din ang MSI ng .NET downloader, na kumukuha ng RAT mula sa isang external na server (manzisuape.com/amw), kasama ang isang PowerShell script na idinisenyo upang magsagawa ng mga operasyon sa paglilinis.
Regional Targeting Higit pa sa Mexico
Habang ang Mexico ay nananatiling pangunahing target, ang mga variant ng AllaKore RAT ay ginamit din sa buong Latin America. Kapansin-pansin, noong Mayo 2024, isang variant na kilala bilang AllaSenha (aka CarnavalHeist) ang naobserbahang nagta-target sa mga institusyong pagbabangko sa Brazil, na pinamamahalaan ng mga aktor ng pananakot na katutubong sa Brazil.
Matakaw na Sponge: Persistent pero Hindi Sopistikado
Sa kabila ng pagpapatuloy nito sa pagpapatakbo sa loob ng apat na taon, inuri ng mga eksperto ang Greedy Sponge bilang epektibo ngunit hindi masyadong advanced. Ang makitid na heyograpikong pokus ng grupo at ang eksklusibong paghahangad ng pinansiyal na pakinabang ay nakikilala ito sa mas sopistikadong mga kalaban. Ang kanilang hindi nabagong mga modelo ng imprastraktura at pangmatagalang tagumpay ay nagpapahiwatig na ang kanilang kasalukuyang diskarte ay patuloy na epektibo, na binabawasan ang pangangailangan para sa mga makabuluhang pagbabago sa pagpapatakbo.
