تصاعد في سرقة بيانات الاعتماد والوصول عن بُعد عبر AllaKore وPureRAT وHijack Loader
تحليل أمني - 22 يوليو 2025
22 يوليو 2025 | مايسترو نيرو - الأمن السيبراني
ما زالت المنظمات المكسيكية تتعرض لهجمات من قبل مجموعة تهديد تُعرف باسم Greedy Sponge، والتي تقوم بنشر نسخة معدلة من أداة التحكم عن بعد AllaKore RAT بالإضافة إلى نظام SystemBC، وذلك في إطار حملة مستمرة بدأت منذ عام 2021.
دوافع مالية وقطاعات مستهدفة
تستهدف هذه المجموعة قطاعات متنوعة تشمل البيع بالتجزئة، الزراعة، القطاع العام، الترفيه، التصنيع، النقل، والخدمات المالية. وقد تم تعديل حمولة AllaKore RAT لسرقة بيانات اعتماد البنوك ومعلومات المصادقة وإرسالها إلى خوادم المهاجمين.
سلاسل الهجوم والتقنيات المستخدمة
تعتمد الحملة على رسائل تصيد أو تحميلات خادعة توزع ملفات ZIP ملغمة تحتوي على مثبتات MSI تُسقط أداة AllaKore. كما يتم توصيل أدوات إضافية مثل SystemBC، التي تحوّل الأجهزة المصابة إلى بروكسيات SOCKS5.
تشير التقارير إلى أن المهاجمين حسّنوا أساليبهم عبر تطبيق التقييد الجغرافي (geofencing) على مستوى الخادم لمنع تحميل الحمولة النهائية خارج المكسيك.
PureRAT وGhost Crypt: أدوات جديدة على الساحة
في مايو 2025، اكتشفت eSentire حملة تصيد استخدمت Ghost Crypt لتشفير DLL ضار تم حقنه لاحقًا في عملية شرعية باستخدام تقنية process hypnosis injection. وقد أتاح ذلك تجاوز الحماية من Microsoft Defender.
Ghost Crypt يُباع كخدمة على المنتديات الإجرامية ويدعم العديد من البرمجيات الخبيثة مثل Lumma وStealC وPureLoader وغيرها.
Hijack Loader وانتشار RedLine
تم مؤخرًا استغلال مثبتات Inno Setup لتوزيع Hijack Loader الذي بدوره يُسقط أداة RedLine لسرقة المعلومات. ويُستخدم كود Pascal داخل المثبت لاستدعاء الحمولة التالية، وهو أسلوب مشابه لأداة D3F@ck Loader.
تقف مجموعة Greedy Sponge وراء حملة طويلة الأمد تستهدف المؤسسات المالية باستخدام أدوات RAT وتشفير متقدم. ويُنصح بتحسين آليات الكشف والمراقبة والتحقيق في النشاط الشبكي غير المعتاد.
تم التعديل في: 22 يوليو 2025