مجموعة Greedy Sponge تواصل استهداف المؤسسات المكسيكية ببرمجيات AllaKore RAT وSystemBC

تواصل مجموعات القرصنة استهداف المؤسسات المكسيكية، حيث كشفت Arctic Wolf Labs عن حملة مستمرة تستخدم نسخة معدلة من AllaKore RAT وSystemBC، تقودها مجموعة قرصنة مالية تُعرف باسم Greedy Sponge، تنشط منذ أوائل 2021.

أهداف وقطاعات مستهدفة

تستهدف الحملة قطاعات متنوعة تشمل:

• التجزئة

• الزراعة

• القطاع العام

• الترفيه

• الصناعة

• النقل

• الخدمات التجارية

• السلع الرأسمالية

• البنوك

وأوضحت الشركة أن نسخة AllaKore RAT المستخدمة معدلة بشكل كبير لتمكين المهاجمين من إرسال بيانات اعتماد مصرفية ومعلومات مصادقة فريدة إلى خوادم التحكم الخاصة بهم لتنفيذ عمليات احتيال مالي.

أسلوب الهجوم

وفقًا للتحقيقات، تعتمد الهجمات على التصيد الاحتيالي (Phishing) أو الاستغلال عبر المواقع الضارة (Drive-by Compromise) لتوزيع ملفات ZIP مفخخة تحتوي على:

• ملف MSI مزيف يحتوي على .NET Downloader لجلب AllaKore RAT من خادم خارجي.

• ملف Chrome Proxy شرعي.

  اقرأ أيضًا...

  • Glid Technologies تجمع 3.1 مليون دولار لتسويق مركبات الشحن الذاتية بين الطرق والسكك الحديدية
  • مستخدمي Google Home يعبرون عن استيائهم من تزايد الأعطال والمشاكل في الأجهزة الذكية
  • Gupshup raises $60M in equity and debt, leaves unicorn status hanging
  • اكتشاف جديد في CERN يكشف اختلافات بين المادة والمادة المضادة
  • لعبة Pokémon Friends الجديدة تجمع بين الألغاز اليومية وجمع الدمى الرقمية

• سكربت PowerShell لتنظيف آثار التثبيت.

يقوم AllaKore RAT بتوفير قدرات مثل:

• تسجيل ضغطات لوحة المفاتيح (Keylogging)

• التقاط لقطات الشاشة

• رفع وتنزيل الملفات

• التحكم عن بعد

إلى جانب ذلك، يتم تثبيت برمجية SystemBC لتحويل الأجهزة المخترقة إلى وكلاء SOCKS5 لتأمين الاتصال بخوادم المهاجمين.

تحسينات وتحديثات

منذ منتصف 2024، حسّنت المجموعة تقنيات Geofencing لاستهداف المكسيك فقط، حيث نُقل هذا الفلتر من المرحلة الأولى إلى جانب الخادم، مما يصعب تحليل البرمجيات.

حملات مشابهة في أمريكا اللاتينية

في مايو 2024، تم رصد نسخة من AllaKore تُعرف باسم AllaSenha أو CarnavalHeist تستهدف المؤسسات المصرفية البرازيلية.

استمرار النجاح التشغيلي

ترى Arctic Wolf أن المجموعة ليست متطورة تقنيًا، لكنها مثابرة وناجحة، مما يفسر استمرارها بنفس البنية التحتية طوال سنوات حملتها.

تهديدات أخرى مرتبطة

• Ghost Crypt: خدمة “تشفير كبرمجية” (Crypter-as-a-Service) ظهرت في أبريل 2025، تُستخدم لتجاوز Microsoft Defender وتشغيل برمجيات مثل Lumma وRhadmanthys وPureRAT عبر تقنيات حقن متقدمة مثل Process Hypnosis Injection.

• Neptune RAT (MasonRAT): موزع عبر ملفات JavaScript، يتيح سرقة البيانات، تسجيل ضغطات المفاتيح، وإسقاط برمجيات Clipper.

• Hijack Loader (IDAT Loader): يتم توزيعه عبر مثبتات Inno Setup الخبيثة، ويستخدم برمجة Pascal لجلب الحمولات التالية، مشابهًا لأداة D3F@ck Loader.