Cybersecurity-onderzoekers vestigen de aandacht op een reeks cyberaanvallen op financiële organisaties in heel Afrika sinds ten minste juli 2023 met behulp van een mix van open-source en openbaar beschikbare tools om toegang te behouden.
Palo Alto Networks Unit 42 volgt de activiteit onder de naam CL-CRI-1014waar “CL” verwijst naar “cluster” en “CRI” staat voor “criminele motivatie”.
Er wordt vermoed dat het einddoel van de aanvallen is om initiële toegang te verkrijgen en het vervolgens te verkopen aan andere criminele actoren op ondergrondse forums, waardoor de dreigingsacteur een initiële toegangsmakelaar (IAB) is.
“De dreigingsacteur kopieert handtekeningen van legitieme toepassingen om bestandshandtekeningen te smeden, om hun toolset te verbergen en hun kwaadaardige activiteiten te maskeren,” zeiden onderzoekers Tom Fakterman en Guy Levi. “Dreigingsacteurs vervuilen legitieme producten vaak voor kwaadwillende doeleinden.”
De aanvallen worden gekenmerkt door de implementatie van tools zoals POSHC2 voor command-and-control (C2), beitel voor het tunnelen van kwaadaardig netwerkverkeer en de spion in de klas voor externe administratie.
De exacte methode die de dreigingsactoren gebruiken om Target -netwerken te overtreden, is niet duidelijk. Zodra een voet aan de grond is verkregen, zijn de aanvalsketens gevonden om meshcentrale agent en latere klasse spion in te zetten om de machines te besturen en vervolgens beitel te laten vallen om firewalls te omzeilen en POSHC2 te verspreiden naar andere Windows -hosts op het gecompromitteerde netwerk.
Om detectie -inspanningen te omzeilen, worden de payloads doorgegeven als legitieme software, met behulp van de pictogrammen van Microsoft -teams, Palo Alto Networks Cortex en Broadcom VMware Tools. POSHC2 is op de systemen volharden met behulp van drie verschillende methoden –
- Een service opzetten
- Een Windows Sortcut (LNK) -bestand opslaan op de tool in de opstartmap
- Een geplande taak gebruiken onder de naam “Palo Alto Cortex Services”
In sommige incidenten waargenomen door het Cybersecurity Company, zouden de dreigingsactoren gebruikersreferenties hebben gestolen en deze hebben gebruikt om een proxy op te zetten met behulp van POSHC2.
“POSHC2 kan een proxy gebruiken om te communiceren met een command-and-control (C2) -server, en het lijkt erop dat de dreigingsacteur enkele van de POSHC2-implantaten specifiek heeft afgestemd op de gerichte omgeving,” merkten de onderzoekers op.
Dit is niet de eerste keer dat POSHC2 wordt gebruikt bij aanvallen gericht op financiële diensten in Afrika. In september 2022 heeft Check Point gedetailleerd een speer-phishing-campagne gedetailleerd genaamd Dangeroussavanna die gericht was op financiële en verzekeringsmaatschappijen in Ivoorkust, Marokko, Kameroen, Senegal en Togo om Metasploit, POSHC2, DWService en asyncrat te leveren.
De openbaarmaking komt omdat Trustwave Spiderlabs licht werpt op een nieuwe ransomware -groep genaamd Dire Wolf die al 16 slachtoffers heeft geëist in de VS, Thailand, Taiwan, Australië, Bahrein, Canada, India, Italië, Peru en Singapore sinds de opkomst vorige maand. De beste gerichte sectoren zijn technologie, productie en financiële diensten.
Analyse van het Dire Wolf Locker heeft onthuld dat het in Golang is geschreven en wordt geleverd met mogelijkheden om systeemlogging uit te schakelen, een hard gecodeerde lijst van 75 services en 59 applicaties te beëindigen en herstelinspanningen te remmen door schaduwkopieën te verwijderen.
“Hoewel er geen initiële toegang, verkenning of laterale bewegingstechnieken die door Dire Wolf worden gebruikt, op dit moment bekend zijn, zullen organisaties goede beveiligingspraktijken volgen en monitoring mogelijk maken voor de technieken die in deze analyse zijn onthuld,” zei het bedrijf.
