Greedy Sponge Hacking Group
Các tổ chức Mexico tiếp tục phải đối mặt với các cuộc tấn công mạng từ một nhóm có động cơ tài chính được gọi là Greedy Sponge, đang lợi dụng các biến thể đã được sửa đổi của AllaKore RAT và SystemBC. Hoạt động từ đầu năm 2021, chiến dịch này nhắm mục tiêu một cách không phân biệt, tác động đến các ngành công nghiệp từ bán lẻ, nông nghiệp và giải trí đến sản xuất, vận tải, dịch vụ công, hàng hóa vốn và ngân hàng.
Mục lục
AllaKore RAT: Công cụ gian lận tài chính
Phần mềm độc hại cốt lõi, AllaKore RAT , đã bị thay đổi đáng kể để thu thập dữ liệu tài chính nhạy cảm. Phần mềm độc hại này được lập trình để đánh cắp thông tin đăng nhập ngân hàng và thông tin xác thực duy nhất đến máy chủ Chỉ huy và Kiểm soát (C2), cho phép thực hiện hành vi gian lận tài chính quy mô lớn. Các báo cáo về chiến dịch này lần đầu tiên xuất hiện vào tháng 1 năm 2024, tiết lộ rằng những kẻ tấn công dựa vào các phương thức lừa đảo và xâm nhập drive-by để phát tán các tệp ZIP độc hại được thiết kế để triển khai AllaKore RAT.
Các nhà nghiên cứu đã quan sát thấy rằng AllaKore RAT thường được sử dụng để phân phối SystemBC , một phần mềm độc hại dựa trên C chuyển đổi các máy tính Windows bị xâm phạm thành proxy SOCKS5, cung cấp cho kẻ tấn công một đường hầm giao tiếp an toàn tới cơ sở hạ tầng C2 của chúng.
Kỹ thuật tinh vi và chiến thuật hàng rào địa lý
Greedy Sponge đã và đang phát triển các chiến thuật của mình. Đến giữa năm 2024, nhóm này đã giới thiệu các kỹ thuật hàng rào địa lý nâng cao nhằm ngăn chặn phân tích bên ngoài. Trước đây, các kiểm tra hàng rào địa lý được nhúng trong trình tải xuống .NET bên trong tệp cài đặt Microsoft (MSI) bị trojan hóa. Giờ đây, việc hạn chế này đã được chuyển sang phía máy chủ, đảm bảo rằng chỉ những nạn nhân trong khu vực Mexico mục tiêu mới nhận được dữ liệu cuối cùng.
Chuỗi tấn công hiện tại và phân phối tải trọng
Chuỗi tấn công mới nhất vẫn tương đồng với các chiến dịch trước đó. Các tệp ZIP độc hại, chẳng hạn như 'Actualiza_Policy_v01.zip', chứa cả tệp thực thi proxy Chrome hợp lệ và trình cài đặt MSI bị trojan hóa. MSI này được thiết kế để loại bỏ AllaKore RAT, bao gồm các khả năng như:
- Ghi lại phím, chụp ảnh màn hình và điều khiển từ xa các hệ thống bị nhiễm
- Tải lên và tải xuống các tệp tin đến và đi từ cơ sở hạ tầng của kẻ tấn công
Để tạo điều kiện thuận lợi cho việc lây nhiễm, MSI cũng triển khai trình tải xuống .NET, trình này sẽ tải RAT từ máy chủ bên ngoài (manzisuape.com/amw), cùng với một tập lệnh PowerShell được thiết kế để thực hiện các hoạt động dọn dẹp.
Nhắm mục tiêu khu vực ngoài Mexico
Mặc dù Mexico vẫn là mục tiêu chính, các biến thể AllaKore RAT cũng đã được sử dụng trên khắp Mỹ Latinh. Đáng chú ý, vào tháng 5 năm 2024, một biến thể được gọi là AllaSenha (hay còn gọi là CarnavalHeist) đã được phát hiện nhắm mục tiêu vào các tổ chức ngân hàng Brazil, do các tác nhân đe dọa bản địa Brazil điều hành.
Bọt biển tham lam: Bền bỉ nhưng không tinh vi
Mặc dù hoạt động dai dẳng trong hơn bốn năm, các chuyên gia đánh giá Greedy Sponge là hiệu quả nhưng chưa thực sự tiên tiến. Trọng tâm địa lý hẹp và việc theo đuổi lợi ích tài chính độc quyền của nhóm này khiến nó khác biệt so với các đối thủ tinh vi hơn. Mô hình cơ sở hạ tầng không thay đổi và thành công lâu dài của chúng cho thấy cách tiếp cận hiện tại của chúng luôn hiệu quả, giảm thiểu nhu cầu thay đổi hoạt động đáng kể.
