Şimdi açgözlü sünger olarak tanımlanan finansal olarak motive olmuş bir tehdit aktörü, Meksikalı organizasyonları Allakore uzaktan erişim Truva (Rat) ‘nın özelleştirilmiş bir versiyonuyla acımasızca hedefliyor.
Parasal odağı ve komuta ve kontrol (C2) altyapısında popüler bir “SpongeBob” memine geçmişte atıfta bulundu, bu grup yıllar boyunca taktiklerini geliştirdi.
Kalıcı tehdit Meksika organizasyonlarını hedefliyor
Açgözlü sünger son zamanlarda bankacılık kimlik bilgileri ve kimlik doğrulama verilerini çalmak için kötü amaçlı yazılımlarını geliştirerek sofistike finansal sahtekarlık sağladı.
2022 ve 2023 yılları arasında aktif olan kampanyaları, kötü niyetli yükleri daha fazla indirmek ve yürütmek, perakende, bankacılık ve kamu hizmetleri de dahil olmak üzere çeşitli sektörlerdeki orta ve büyük Meksika şirketlerine yönelik tehdidi güçlendirmek için çok platformlu bir kötü amaçlı yazılım proxy aracı olan SystemBC gibi ikincil enfeksiyonları birleştirdi.
Açgözlü süngerin operasyonel gelişmeleri güncellenmiş saldırı vektörlerinde ve altyapılarında belirgindir.
Başlangıçta Meksika IPS’ye coğrafi olarak coğrafi işleme için truva atı Microsoft Yazılım Yükleyicisi (MSI) dosyaları içindeki bir .NET indiricisine dayanarak, grup 2014’ten bu yana bu kısıtlamayı sunucu tarafına kaydırdı ve bu da tespiti savunucular için daha zor hale getirdi.
Dağıtım mekanizmaları, genellikle kötü amaçlı MSI montajcılarına sahip Chrome Proxy yürütülebilir ürünler gibi meşru yazılımları paketleyen “gerçekiza_policy_v01.zip” gibi zip dosyalarını kullanan mızrak akharı ve sürücü by indirmeleri içerir.
Bu yükleyiciler, “Gadget.exe” (dahili olarak “Tweaker.exe”) adlı bir .NET indiricisini kullanır, bu da özelleştirilmiş Allakore farını “manzisuape gibi alanlardan alan[.]com ”.
Gelişmiş dağıtım mekanizmaları
Şimdi yoğun bir şekilde değiştirilmiş olan sıçan, anahtarlama, ekran görüntüleri, dosya yüklemeleri/indirmeleri ve uzaktan kumanda özelliklerini desteklerken, kalıcılık başlangıç klasörüne indirilen güncellenmiş sürümler aracılığıyla korunur.
Ek olarak, SystemBC’nin ikincil enfeksiyonları, sunucularda barındırılan uç noktalardan “Masamadreartesanal[.]com ”, Microsoft Connection Manager Profil Yükleyicisi (CMSTP) aracılığıyla kullanıcı hesabı kontrolü (UAC) bypass gibi teknikleri kullanarak.
Öncelikle Dallas, Teksas’taki Host Winds sunucularında barındırılan altyapıları tutarlı kalır, kimlik avı alanları Meksika iş sitelerini taklit eder ve C2 iletişimleri verimli kimlik bilgisi eksfiltrasyonu için yapılandırılmıştır.
Açgözlü süngerin Meksika ekonomik ve düzenleyici ortamları derinlemesine anlayışı, İspanyolca dil gelişimi ve coğrafi olarak sınırlı hedefleme ile birleştiğinde, RDP’nin Meksika’dan C2 sunucularına erişimi ile kanıtlandığı gibi, bölgeye potansiyel bağları olan yerel bir operasyon önermektedir.
Dört yıl boyunca kalıcılıkları, muhtemelen operatörlerin hileli bankacılık planlarında sunucu tarafı işlemesi için veri çaldığı katmanlı bir yapı tarafından yönlendirilen operasyonel başarıyı göstermektedir.
Arctic Wolf, kimlik avı, kısıtlı yazılım indirmeleri ve riskleri azaltmak için gelişmiş PowerShell günlüğünde güçlü kullanıcı eğitimi önerir.
Kolluk müdahalesi olmadan, açgözlü sünger, Meksikalı kuruluşlar için önemli bir tehdit olarak kalmaya ve tespitten kaçınmak ve finansal kazancı en üst düzeye çıkarmak için taktiklerini sürekli olarak geliştirmeye hazırlanıyor.
Arctic Wolf, müşterileri korumak için yeni tespitleri Aurora platformuna entegre etti, bu aktör tarafından kullanılan uzlaşma göstergelerine (IOCS) ve tekniklere uyum sağladı.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| Alakore sha-256 | 20FE630A63DD1741EC4ade9FE05B2E7E57208F77D5E20BFFFF0A012FEA96AD0C0 |
| .NET İndirici SHA-256 | A83F218D9DBB05C1808A71C75F35551B67D41DA6B027AC0972597A1FC49FE |
| Kimlik avı alanı | parıltı[.]com |
| Allakore C2 Alanı | manzisuape[.]com |
| SystemBC C2 Etki Alanı | intuve üzerinde[.]com |
| Teslimat alanı | stajyer[.]com |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now