近日,一个名为 “贪婪海绵” 的威胁组织针对墨西哥金融机构展开攻击行动。该组织是一个以经济利益为动机的威胁组织,自 2021 年起有组织地针对墨西哥金融机构和组织,使用大幅修改的 AllaKore 远程访问木马(RAT)。该活动结合传统社会工程学与先进技术能力,演变出复杂的网络犯罪策略。威胁行为者通过鱼叉式网络钓鱼和路过式下载部署恶意软件,利用伪装成合法软件更新的恶意微软安装程序(MSI)文件。恶意软件包含.NET 下载器组件,从得克萨斯州达拉斯的 Hostwinds 基础设施上的命令与控制服务器获取定制有效载荷。攻击者采用服务器端地理围栏机制,将有效载荷交付限制在墨西哥境内系统。此外,他们还整合 SystemBC 作为次要感染途径,近期活动从客户端地理过滤转向服务器端限制,增加了安全团队检测和分析难度。
修改后的 “阿拉科雷” 变种采用复杂持久化技术,感染后通过在系统 “启动” 文件夹放置更新版本实现持久化,并结合清理操作清除初始感染载体痕迹。恶意软件还具备规避能力,利用微软的 CMSTP.exe 绕过用户账户控制(UAC),显示为常规系统更新进程。.NET 下载器组件使用独特用户代理字符串进行命令与控制通信,采用 base64 编码混淆网络流量模式 。
京公网安备 11010802033237号
