贪婪海绵黑客组织

墨西哥各组织持续面临一个名为“贪婪海绵”（Greedy Sponge）的组织发起的网络攻击，该组织以经济利益为目的，利用 AllaKore RAT 和 SystemBC 的修改版本。该攻击活动自 2021 年初开始活跃，攻击目标不分青红皂白，影响范围广泛，从零售、农业、娱乐到制造业、交通运输、公共服务、资本货物和银行业，无所不包。

AllaKore RAT：金融欺诈工具

核心载荷AllaKore RAT已被广泛修改，用于捕获敏感的财务数据。该恶意软件被设计为将银行凭证和唯一身份验证信息泄露到命令与控制 (C2) 服务器，从而进行大规模金融欺诈。有关该活动的报告于 2024 年 1 月首次浮出水面，揭示了攻击者依靠网络钓鱼和驱动式攻击来传播旨在部署 AllaKore RAT 的恶意 ZIP 压缩文件。

研究人员发现，AllaKore RAT 经常用于传播SystemBC ，这是一种基于 C 的恶意软件，它将受感染的 Windows 机器转换为 SOCKS5 代理，为攻击者提供通往其 C2 基础设施的安全通信通道。

精炼的谍报技术和地理围栏战术

Greedy Sponge 一直在不断改进其攻击策略。到 2024 年中期，该组织引入了增强型地理围栏技术，旨在阻止外部分析。此前，地理围栏检查被嵌入到木马化的 Microsoft 安装程序 (MSI) 文件中的 .NET 下载程序中。现在，该限制已转移到服务器端，确保只有位于目标墨西哥地区的受害者才能收到最终的有效载荷。

当前的攻击链和有效载荷传递

最新的攻击序列与之前的攻击活动保持一致。恶意 ZIP 文件（例如“Actualiza_Policy_v01.zip”）包含合法的 Chrome 代理可执行文件和木马化的 MSI 安装程序。该 MSI 旨在植入 AllaKore RAT，该 RAT 具有以下功能：

• 键盘记录、屏幕截图以及受感染系统的远程控制
• 在攻击者的基础设施上上传和下载文件

为了促进感染，MSI 还部署了一个 .NET 下载程序，该程序从外部服务器（manzisuape.com/amw）获取 RAT，以及一个用于执行清理操作的 PowerShell 脚本。

墨西哥以外的区域定位

虽然墨西哥仍然是主要目标，但 AllaKore RAT 变种也已在整个拉丁美洲被使用。值得注意的是，2024 年 5 月，一种名为 AllaSenha（又名 CarnavalHeist）的变种被发现针对巴西银行机构，该变种由巴西本土的威胁行为者操作。

贪婪的海绵：执着但不老练

尽管“贪婪海绵”组织已持续运营四年，但专家认为其虽然有效，但并非高度先进。该组织专注于狭窄的地域，且专注于经济利益，这使其有别于其他更老练的对手。他们保持不变的基础设施模式和长期的成功表明，其当前策略始终有效，从而减少了进行重大运营调整的必要性。