Група хакерів Greedy Sponge
Мексиканські організації продовжують стикатися з кібератаками з боку фінансово мотивованої групи під назвою Greedy Sponge, яка використовує модифіковані варіанти AllaKore RAT та SystemBC. Ця кампанія, що діє з початку 2021 року, невибірково обирає цілі, впливаючи на різні галузі промисловості, від роздрібної торгівлі, сільського господарства та розваг до виробництва, транспорту, державних послуг, товарів виробництва та банківської справи.
Зміст
AllaKore RAT: інструмент для фінансового шахрайства
Основне корисне навантаження, AllaKore RAT , було значно змінено для збору конфіденційних фінансових даних. Шкідливе програмне забезпечення запрограмоване на вилучення банківських облікових даних та унікальних даних автентифікації на сервер командування та управління (C2), що дозволяє здійснювати масштабні фінансові шахрайства. Повідомлення про цю кампанію вперше з'явилися в січні 2024 року, і вони показали, що зловмисники покладаються на фішинг та несанкціоновані крадіжки даних для поширення шкідливих ZIP-архівів, призначених для розгортання AllaKore RAT.
Дослідники помітили, що AllaKore RAT часто використовується для доставки SystemBC , шкідливого програмного забезпечення на базі C, яке перетворює скомпрометовані машини Windows на проксі-сервери SOCKS5, надаючи зловмисникам безпечний тунель зв'язку до їхньої інфраструктури C2.
Удосконалені торговельні майстерності та тактики геозонування
Greedy Sponge постійно вдосконалює свою тактику. До середини 2024 року група запровадила вдосконалені методи геозонування, спрямовані на перешкоджання зовнішньому аналізу. Раніше перевірки геозонування були вбудовані в завантажувач .NET у файлі інсталятора Microsoft (MSI), зараженому троянами. Тепер це обмеження перенесено на серверну частину, що гарантує, що лише жертви в межах цільового мексиканського регіону отримають остаточне корисне навантаження.
Поточний ланцюг атаки та доставка корисного навантаження
Останні послідовності атак залишаються подібними до попередніх кампаній. Шкідливі ZIP-файли, такі як «Actualiza_Policy_v01.zip», містять як легітимний виконуваний проксі-файл Chrome, так і троянський інсталятор MSI. Цей MSI розроблений для видалення AllaKore RAT, який має такі можливості, як:
- Кейлоггер, зйомка екрана та віддалене керування зараженими системами
- Завантаження та вивантаження файлів до та з інфраструктури зловмисника
Для полегшення зараження MSI також розгортає завантажувач .NET, який отримує RAT із зовнішнього сервера (manzisuape.com/amw), разом зі скриптом PowerShell, призначеним для виконання операцій очищення.
Регіональне таргетування за межами Мексики
Хоча Мексика залишається основною ціллю, варіанти AllaKore RAT також використовувалися по всій Латинській Америці. Зокрема, у травні 2024 року було помічено варіант, відомий як AllaSenha (він же CarnavalHeist), спрямований на бразильські банківські установи, якими керували зловмисники з Бразилії.
Жадібна губка: наполеглива, але не витончена
Незважаючи на свою операційну стійкість протягом чотирьох років, експерти класифікують Greedy Sponge як ефективну, але не дуже просунуту групу. Вузька географічна спрямованість групи та виключне прагнення до фінансової вигоди відрізняють її від більш витончених супротивників. Їхні незмінні моделі інфраструктури та довгостроковий успіх свідчать про те, що їхній поточний підхід був послідовно ефективним, що зменшує потребу в значних операційних змінах.
