Greedy Sponge Hacking Group
Mexikanische Organisationen sind weiterhin Cyberangriffen einer finanziell motivierten Gruppe namens Greedy Sponge ausgesetzt, die modifizierte Varianten von AllaKore RAT und SystemBC nutzt. Diese seit Anfang 2021 aktive Kampagne wählt ihre Ziele wahllos aus und betrifft Branchen wie Einzelhandel, Landwirtschaft und Unterhaltung, Fertigung, Transport, öffentliche Dienste, Investitionsgüter und Banken.
Inhaltsverzeichnis
AllaKore RAT: Ein Tool für Finanzbetrug
Die Kernnutzlast, AllaKore RAT , wurde umfassend modifiziert, um sensible Finanzdaten abzufangen. Die Malware ist darauf programmiert, Bankdaten und eindeutige Authentifizierungsdaten an einen Command-and-Control-Server (C2) zu exfiltrieren und so groß angelegten Finanzbetrug zu ermöglichen. Berichte über diese Kampagne tauchten erstmals im Januar 2024 auf und enthüllten, dass die Angreifer Phishing und Drive-by-Angriffe nutzen, um bösartige ZIP-Archive zu verbreiten, die für die Verbreitung von AllaKore RAT entwickelt wurden.
Forscher haben beobachtet, dass AllaKore RAT häufig verwendet wird, um SystemBC zu verbreiten, eine C-basierte Schadsoftware, die kompromittierte Windows-Rechner in SOCKS5-Proxys umwandelt und den Angreifern so einen sicheren Kommunikationstunnel zu ihrer C2-Infrastruktur bereitstellt.
Verfeinerte Spionage- und Geofencing-Taktiken
Greedy Sponge hat seine Taktik weiterentwickelt. Mitte 2024 führte die Gruppe verbesserte Geofencing-Techniken ein, um externe Analysen zu verhindern. Zuvor waren Geofencing-Prüfungen in einen .NET-Downloader innerhalb einer trojanisierten Microsoft-Installer-Datei (MSI) eingebettet. Nun wurde die Einschränkung auf die Serverseite verlagert, um sicherzustellen, dass nur Opfer in der betroffenen mexikanischen Region die endgültige Nutzlast erhalten.
Aktuelle Angriffskette und Nutzlastbereitstellung
Die neuesten Angriffssequenzen entsprechen denen früherer Kampagnen. Schädliche ZIP-Dateien wie „Actualiza_Policy_v01.zip“ enthalten sowohl eine legitime Chrome-Proxy-Datei als auch ein trojanisiertes MSI-Installationsprogramm. Dieses MSI-Programm ist darauf ausgelegt, den RAT AllaKore zu installieren, der unter anderem folgende Funktionen bietet:
- Keylogging, Screenshot-Erfassung und Fernsteuerung infizierter Systeme
- Hoch- und Herunterladen von Dateien in und aus der Infrastruktur des Angreifers
Um die Infektion zu erleichtern, setzt das MSI außerdem einen .NET-Downloader ein, der den RAT von einem externen Server (manzisuape.com/amw) abruft, zusammen mit einem PowerShell-Skript, das Bereinigungsvorgänge durchführt.
Regionale Ausrichtung über Mexiko hinaus
Mexiko bleibt zwar das Hauptziel, doch wurden AllaKore-RAT-Varianten auch in ganz Lateinamerika eingesetzt. Im Mai 2024 wurde beispielsweise eine Variante namens AllaSenha (auch bekannt als CarnavalHeist) beobachtet, die brasilianische Bankinstitute angriff und von in Brasilien ansässigen Bedrohungsakteuren betrieben wurde.
Greedy Sponge: Hartnäckig, aber nicht raffiniert
Trotz seiner vierjährigen operativen Beständigkeit stufen Experten Greedy Sponge als effektiv, aber nicht als besonders fortschrittlich ein. Der enge geografische Fokus und das ausschließliche Streben der Gruppe nach finanziellem Gewinn unterscheiden sie von anspruchsvolleren Gegnern. Ihre unveränderten Infrastrukturmodelle und ihr langfristiger Erfolg deuten darauf hin, dass ihr aktueller Ansatz durchweg effektiv ist und die Notwendigkeit größerer operativer Veränderungen reduziert.
