Açgözlü Sünger Hacking Grubu
Meksikalı kuruluşlar, AllaKore RAT ve SystemBC'nin değiştirilmiş versiyonlarını kullanan ve finansal çıkarları olan Açgözlü Sünger adlı bir grubun siber saldırılarıyla karşı karşıya kalmaya devam ediyor. 2021'in başından beri faaliyet gösteren bu kampanya, hedef seçiminde seçici davranmıyor ve perakende, tarım ve eğlenceden imalat, ulaşım, kamu hizmetleri, sermaye malları ve bankacılığa kadar çeşitli sektörleri etkiliyor.
İçindekiler
AllaKore RAT: Finansal Dolandırıcılık İçin Bir Araç
Çekirdek yük olan AllaKore RAT , hassas finansal verileri yakalamak için kapsamlı bir şekilde değiştirildi. Kötü amaçlı yazılım, bankacılık kimlik bilgilerini ve benzersiz kimlik doğrulama ayrıntılarını bir Komuta ve Kontrol (C2) sunucusuna sızdırmak üzere programlandı ve büyük ölçekli finansal dolandırıcılığa olanak sağladı. Bu saldırıyla ilgili raporlar ilk olarak Ocak 2024'te ortaya çıktı ve saldırganların, AllaKore RAT'ı dağıtmak üzere tasarlanmış kötü amaçlı ZIP arşivlerini yaymak için kimlik avı ve geçiş saldırılarına başvurduklarını ortaya koydu.
Araştırmacılar, AllaKore RAT'ın, saldırganlara C2 altyapılarına güvenli bir iletişim tüneli sağlayan, tehlikeye atılmış Windows makinelerini SOCKS5 proxy'lerine dönüştüren C tabanlı bir kötü amaçlı yazılım olan SystemBC'yi dağıtmak için sıklıkla kullanıldığını gözlemlediler.
Gelişmiş Meslek Becerileri ve Coğrafi Çitleme Taktikleri
Greedy Sponge taktiklerini sürekli geliştiriyor. 2024 ortalarında grup, harici analizleri engellemeyi amaçlayan gelişmiş coğrafi sınırlama tekniklerini uygulamaya koydu. Daha önce, coğrafi sınırlama kontrolleri, truva atı içeren bir Microsoft yükleyici (MSI) dosyası içindeki bir .NET indiricisine yerleştiriliyordu. Şimdi ise kısıtlama sunucu tarafına taşındı ve yalnızca hedeflenen Meksika bölgesindeki kurbanların nihai veriyi almasını sağladı.
Mevcut Saldırı Zinciri ve Yük Teslimatı
En son saldırı dizileri, önceki kampanyalarla tutarlılığını sürdürüyor. 'Actualiza_Policy_v01.zip' gibi kötü amaçlı ZIP dosyaları, hem meşru bir Chrome proxy çalıştırılabilir dosyası hem de truva atı içeren bir MSI yükleyicisi içeriyor. Bu MSI, aşağıdaki gibi özellikler içeren AllaKore RAT'ı devre dışı bırakmak üzere tasarlanmıştır:
- Tuş kaydı, ekran görüntüsü yakalama ve enfekte sistemlerin uzaktan kontrolü
- Saldırganın altyapısına dosya yükleme ve indirme
Enfeksiyonu kolaylaştırmak için MSI ayrıca, temizleme işlemlerini gerçekleştirmek üzere tasarlanmış bir PowerShell betiğiyle birlikte, RAT'ı harici bir sunucudan (manzisuape.com/amw) alan bir .NET indiricisi de kullanır.
Meksika Ötesinde Bölgesel Hedefleme
Meksika birincil hedef olmaya devam etse de, AllaKore RAT varyantları Latin Amerika genelinde de kullanıldı. Özellikle Mayıs 2024'te, AllaSenha (diğer adıyla CarnavalHeist) olarak bilinen bir varyantın, Brezilya'ya özgü tehdit aktörleri tarafından işletilen Brezilya bankacılık kurumlarını hedef aldığı gözlemlendi.
Açgözlü Sünger: Israrcı ama Sofistike Değil
Dört yıldır faaliyette olmasına rağmen uzmanlar, Greedy Sponge'u etkili ancak çok gelişmiş olmayan bir grup olarak sınıflandırıyor. Grubun dar coğrafi odağı ve yalnızca maddi kazanç peşinde koşması, onu daha gelişmiş rakiplerinden ayırıyor. Değişmeyen altyapı modelleri ve uzun vadeli başarıları, mevcut yaklaşımlarının sürekli etkili olduğunu ve önemli operasyonel değişikliklere olan ihtiyacı azalttığını gösteriyor.
