Một nhóm tác nhân đe dọa có động cơ tài chính, được xác định là Greedy Sponge, đã và đang liên tục nhắm mục tiêu vào các tổ chức ở Mexico bằng một phiên bản tùy chỉnh của AllaKore Remote Access Trojan (RAT). Nhóm này được đặt tên dựa trên trọng tâm vào lợi ích tiền tệ và một tham chiếu trước đây đến meme “SpongeBob” phổ biến trên cơ sở hạ tầng chỉ huy và kiểm soát (C2) của chúng. Qua nhiều năm, Greedy Sponge đã phát triển các chiến thuật của mình.
Sự Phát Triển Trong Chiến Thuật và Mã Độc
Greedy Sponge gần đây đã tăng cường mã độc của mình để đánh cắp thông tin đăng nhập ngân hàng và dữ liệu xác thực, tạo điều kiện cho các hoạt động lừa đảo tài chính tinh vi. Các chiến dịch của chúng, đã hoạt động trong suốt năm 2022 và 2023, hiện đã kết hợp các nhiễm trùng thứ cấp như SystemBC. SystemBC là một công cụ proxy mã độc đa nền tảng, được sử dụng để tải xuống và thực thi thêm các payload độc hại, khuếch đại mối đe dọa đối với các công ty vừa và lớn của Mexico trên nhiều lĩnh vực khác nhau, bao gồm bán lẻ, ngân hàng và dịch vụ công cộng.
Sự tiến bộ trong hoạt động của Greedy Sponge được thể hiện rõ qua các vectơ tấn công và cơ sở hạ tầng được cập nhật của chúng. Ban đầu, nhóm này dựa vào một downloader .NET bên trong các tệp Microsoft Software Installer (MSI) đã bị trojan hóa để thực hiện geofencing đến các địa chỉ IP của Mexico. Tuy nhiên, từ giữa năm 2024, nhóm đã chuyển việc hạn chế này sang phía máy chủ, khiến việc phát hiện trở nên khó khăn hơn đối với các nhà phòng thủ.
Cơ Chế Khởi Tạo và Lây Nhiễm
Cơ chế phân phối của Greedy Sponge liên quan đến tấn công lừa đảo có chủ đích (spear-phishing) và các lượt tải xuống tự động (drive-by downloads). Thường thì chúng sử dụng các tệp ZIP, chẳng hạn như “Actualiza_Policy_v01.zip”, các tệp này đóng gói phần mềm hợp pháp (ví dụ: các tệp thực thi proxy của Chrome) cùng với các trình cài đặt MSI độc hại. Các trình cài đặt này triển khai một downloader .NET có tên “Gadget.exe” (tên nội bộ là “Tweaker.exe”). Downloader này sau đó sẽ truy xuất payload AllaKore RAT đã được tùy chỉnh từ các tên miền độc hại.
Chức Năng của AllaKore RAT
Phiên bản AllaKore RAT này đã được sửa đổi nhiều và hỗ trợ các khả năng sau:
- Keylogging: Ghi lại các thao tác gõ phím của người dùng.
- Chụp màn hình: Thu thập hình ảnh màn hình của nạn nhân.
- Tải lên/Tải xuống tệp: Di chuyển tệp giữa máy tính nạn nhân và máy chủ C2.
- Khả năng điều khiển từ xa: Cho phép kẻ tấn công kiểm soát máy tính của nạn nhân từ xa.
Để duy trì sự tồn tại trên hệ thống, các phiên bản cập nhật của RAT được tải xuống thư mục Startup của nạn nhân, đảm bảo mã độc được thực thi mỗi khi hệ thống khởi động.
Vai Trò của SystemBC trong Chuỗi Tấn Công
Ngoài ra, các nhiễm trùng thứ cấp của SystemBC được thực thi từ các điểm cuối được lưu trữ trên các máy chủ C2. SystemBC được sử dụng như một công cụ proxy mã độc đa nền tảng, tạo ra một kênh an toàn để tải xuống và thực thi các payload độc hại bổ sung. Kỹ thuật vượt qua User Account Control (UAC) được sử dụng, cụ thể là thông qua công cụ Microsoft Connection Manager Profile Installer (CMSTP), nhằm nâng cao đặc quyền và thực thi mã độc mà không bị người dùng phát hiện hoặc chặn.
Cơ Sở Hạ Tầng và Định Hướng Mục Tiêu
Cơ sở hạ tầng của Greedy Sponge chủ yếu được lưu trữ trên các máy chủ Hostwinds ở Dallas, Texas và vẫn giữ được sự nhất quán. Các tên miền lừa đảo của chúng thường bắt chước các trang web kinh doanh của Mexico, trong khi các giao tiếp C2 được cấu trúc để trích xuất thông tin đăng nhập một cách hiệu quả. Hiểu biết sâu sắc của Greedy Sponge về môi trường kinh tế và quy định của Mexico, cùng với việc phát triển mã độc bằng tiếng Tây Ban Nha và mục tiêu địa lý hạn chế, cho thấy một hoạt động cục bộ có tiềm năng liên kết với khu vực. Điều này được chứng minh bằng việc truy cập RDP vào các máy chủ C2 từ Mexico.
Sự kiên trì của nhóm này trong hơn bốn năm cho thấy sự thành công trong hoạt động, có thể được thúc đẩy bởi một cấu trúc phân tầng, nơi các operator đánh cắp dữ liệu để xử lý phía máy chủ trong các kế hoạch lừa đảo ngân hàng.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp (IOCs) liên quan đến các chiến dịch của Greedy Sponge bao gồm:
- Tên tệp ZIP độc hại:
Actualiza_Policy_v01.zip - Tên tệp Downloader .NET:
Gadget.exe(tên nội bộ:Tweaker.exe) - Tên miền C2 của AllaKore RAT:
manzisuape[.]com - Tên miền C2 của SystemBC:
masamadreartesanal[.]com
Biện Pháp Giảm Thiểu và Khuyến Nghị
Để giảm thiểu rủi ro từ các mối đe dọa của Greedy Sponge, các tổ chức nên thực hiện các biện pháp sau:
- Đào tạo người dùng: Nâng cao nhận thức của người dùng về các cuộc tấn công lừa đảo (phishing) và các kỹ thuật xã hội.
- Hạn chế tải xuống phần mềm: Thực thi chính sách nghiêm ngặt về việc tải xuống và cài đặt phần mềm không được ủy quyền.
- Nâng cao khả năng ghi nhật ký PowerShell: Tăng cường giám sát và ghi nhật ký các hoạt động của PowerShell để phát hiện các hành vi đáng ngờ.
Arctic Wolf đã tích hợp các cơ chế phát hiện mới vào Nền tảng Aurora của mình để bảo vệ khách hàng, thích ứng với các chỉ số thỏa hiệp (IOCs) và kỹ thuật mới nổi được sử dụng bởi tác nhân này. Nếu không có sự can thiệp của cơ quan thực thi pháp luật, Greedy Sponge có khả năng sẽ tiếp tục là một mối đe dọa đáng kể đối với các tổ chức Mexico, liên tục tinh chỉnh các chiến thuật của mình để né tránh sự phát hiện và tối đa hóa lợi nhuận tài chính.
