貪欲なスポンジハッキンググループ

メキシコの組織は、金銭目的の「Greedy Sponge」と呼ばれるグループによるサイバー攻撃に引き続き直面しています。このグループは、AllaKore RATとSystemBCの改変版を悪用しています。2021年初頭から活動しているこの攻撃は、標的を無差別に選び、小売、農業、エンターテインメントから製造、運輸、公共サービス、資本財、銀行に至るまで、幅広い業界に影響を与えています。

AllaKore RAT：金融詐欺ツール

コアペイロードであるAllaKore RATは、機密性の高い金融データを取得するために大幅に改変されています。このマルウェアは、銀行の認証情報や固有の認証情報をコマンドアンドコントロール（C2）サーバーに盗み出すようにプログラムされており、大規模な金融詐欺を可能にします。このキャンペーンに関する報告は2024年1月に初めて表面化し、攻撃者がフィッシング攻撃やドライブバイラン攻撃を利用して、AllaKore RATを展開するように設計された悪意のあるZIPアーカイブを拡散していることが明らかになりました。

研究者は、AllaKore RAT が、侵害された Windows マシンを SOCKS5 プロキシに変換し、攻撃者に C2 インフラストラクチャへの安全な通信トンネルを提供する C ベースのマルウェアであるSystemBC を配信するためによく使用されていることを観察しました。

洗練されたトレードクラフトとジオフェンシング戦術

Greedy Spongeは戦術を進化させています。2024年半ばまでに、このグループは外部からの分析を阻止することを目的とした強化されたジオフェンシング技術を導入しました。以前は、トロイの木馬化されたMicrosoftインストーラー（MSI）ファイル内の.NETダウンローダーにジオフェンシングチェックが埋め込まれていました。現在、この制限はサーバー側に移され、標的のメキシコ地域内の被害者のみが最終的なペイロードを受け取るようになっています。

現在の攻撃チェーンとペイロード配信

最新の攻撃シーケンスは、以前のキャンペーンと一貫性を保っています。「Actualiza_Policy_v01.zip」などの悪意のあるZIPファイルには、正規のChromeプロキシ実行ファイルとトロイの木馬化されたMSIインストーラーの両方が含まれています。このMSIは、以下の機能を備えたAllaKore RATをドロップするように設計されています。

• キーロギング、スクリーンショットキャプチャ、感染したシステムのリモートコントロール
• 攻撃者のインフラストラクチャとの間でファイルをアップロードおよびダウンロードする

感染を容易にするために、MSI は、クリーンアップ操作を実行するように設計された PowerShell スクリプトとともに、外部サーバー (manzisuape.com/amw) から RAT を取得する .NET ダウンローダーも展開します。

メキシコ以外の地域へのターゲティング

AllaKore RATの主な標的は依然としてメキシコですが、ラテンアメリカ全域でも亜種が使用されています。特に注目すべきは、2024年5月には、ブラジルの金融機関を標的としたAllaSenha（別名CarnavalHeist）と呼ばれる亜種が確認されたことです。この亜種はブラジルの脅威アクターによって運営されています。

貪欲なスポンジ：執拗だが洗練されていない

4年以上にわたる活動にもかかわらず、専門家はGreedy Spongeを効果的ではあるものの、高度な攻撃には至っていないと分類しています。このグループは地理的に狭い範囲にとどまり、金銭目的のみを追求しているため、より洗練された攻撃グループとは一線を画しています。インフラモデルが変わらず、長期的な成功を収めていることから、現在のアプローチは一貫して効果的であり、大幅な運用変更の必要性が軽減されていることが示唆されます。