貪婪海綿駭客組織

墨西哥各組織持續面臨一個名為「貪婪海綿」（Greedy Sponge）的組織發起的網路攻擊，該組織以經濟利益為目的，利用 AllaKore RAT 和 SystemBC 的修改版本。該攻擊活動自 2021 年初開始活躍，攻擊目標不分青紅皂白，影響範圍廣泛，從零售、農業、娛樂到製造業、交通運輸、公共服務、資本貨物和銀行業，無所不包。

AllaKore RAT：金融詐騙工具

核心載荷AllaKore RAT已被廣泛修改，用於捕獲敏感的財務數據。該惡意軟體被設計為將銀行憑證和唯一身份驗證資訊洩露到命令與控制 (C2) 伺服器，從而進行大規模金融詐欺。有關該活動的報告於 2024 年 1 月首次浮出水面，揭示了攻擊者依靠網路釣魚和驅動式攻擊來傳播旨在部署 AllaKore RAT 的惡意 ZIP 壓縮檔案。

研究人員發現，AllaKore RAT 經常用於傳播SystemBC ，這是一種基於 C 的惡意軟體，它將受感染的 Windows 機器轉換為 SOCKS5 代理，為攻擊者提供通往其 C2 基礎設施的安全通訊通道。

精煉的諜報技術與地理圍籬戰術

Greedy Sponge 一直在不斷改進其攻擊策略。到 2024 年中期，該組織引入了增強型地理圍欄技術，旨在阻止外部分析。先前，地理圍籬檢查被嵌入到木馬化的 Microsoft 安裝程式 (MSI) 檔案中的 .NET 下載程式中。現在，該限制已轉移到伺服器端，確保只有位於目標墨西哥地區的受害者才能收到最終的有效載荷。

目前的攻擊鍊和有效載荷傳遞

最新的攻擊序列與先前的攻擊活動保持一致。惡意 ZIP 檔案（例如「Actualiza_Policy_v01.zip」）包含合法的 Chrome 代理程式可執行檔和木馬化的 MSI 安裝程式。此 MSI 旨在植入 AllaKore RAT，該 RAT 具有以下功能：

• 鍵盤記錄、螢幕截圖以及受感染系統的遠端控制
• 在攻擊者的基礎設施上傳和下載文件

為了促進感染，MSI 還部署了一個 .NET 下載程序，該程序從外部伺服器（manzisuape.com/amw）獲取 RAT，以及用於執行清理操作的 PowerShell 腳本。

墨西哥以外的區域定位

雖然墨西哥仍然是主要目標，但 AllaKore RAT 變種也已在整個拉丁美洲被使用。值得注意的是，2024 年 5 月，一種名為 AllaSenha（又稱 CarnavalHeist）的變種被發現針對巴西銀行機構，該變種由巴西本土的威脅行為者操作。

貪婪的海綿：執著但不老練

儘管「貪婪海綿」組織已持續運作四年，但專家認為其雖然有效，但並非高度先進。該組織專注於狹窄的地域，並專注於經濟利益，這使其有別於其他更老練的對手。他們保持不變的基礎設施模式和長期的成功表明，其當前策略始終有效，從而減少了進行重大營運調整的必要性。