Afrika’da Fransızca konuşulan ülkelerde bulunan büyük finans ve sigorta şirketleri, kod adlı kalıcı bir kötü niyetli kampanyanın parçası olarak son iki yılda hedef alındı. TehlikeliSavanna.
İsrailli siber güvenlik firması Check Point Salı günü yayınladığı bir raporda, hedeflenen ülkeler arasında Fildişi Sahili, Fas, Kamerun, Senegal ve Togo’nun yer aldığını ve son aylarda ağırlıklı olarak Fildişi Sahili’ne odaklanan mızraklı oltalama saldırılarının olduğunu söyledi.
Bulaşma zincirleri, ilk erişim aracı olarak kötü niyetli ekler içeren sosyal mühendislik mesajlarıyla finansal kurumların çalışanlarını hedef almayı gerektirir ve sonuçta Metasploit, PoshC2, DWservice ve AsyncRAT gibi kullanıma hazır kötü amaçlı yazılımların dağıtımına yol açar.
“Tehdit aktörlerinin yaratıcılığı, hedeflenen şirketlerin çalışanlarını ısrarla takip ettikleri, kendi kendine yazılan yürütülebilir yükleyicilerden ve kötü amaçlı belgelerden çok çeşitli kötü amaçlı dosya türlerini kullanan enfeksiyon zincirlerini sürekli olarak değiştirdikleri için ilk enfeksiyon aşamasında sergileniyor, ISO, LNK, JAR ve VBE dosyalarına çeşitli kombinasyonlarda” dedi.
Kimlik avı e-postaları Fransızca yazılıyor ve Gmail ve Hotmail hizmetleri kullanılarak gönderiliyor ve iletiler, güvenilirliklerini artırmak için Afrika’daki diğer finans kurumlarının kimliğine de bürünüyor.
2021’deki saldırılar, cazibe olarak makro-bağlı Microsoft Word belgelerini kullanırken, şirketin bu yılın başlarında internetten varsayılan olarak indirilen dosyalardaki makroları engelleme kararı, DangerousSavanna oyuncularının PDF ve ISO dosyalarına dönmesine neden oldu.
Ayrıca, 2020’nin sonundan 2021’in başına kadarki ilk saldırı dalgası, uzak sunuculardan bir sonraki aşama damlatıcıları ve yükleyicileri almak için kimlik avı e-postalarına eklenen PDF dosyaları olarak gizlenen ısmarlama .NET tabanlı araçların kullanımını içeriyordu. .
Kullanılan yöntemden bağımsız olarak, ilk dayanak noktası elde edildikten sonra gerçekleştirilen kullanım sonrası faaliyetler arasında kalıcılık oluşturma, keşif gerçekleştirme ve ana bilgisayarı uzaktan kontrol etmek, kötü amaçlı yazılımdan koruma işlemlerini sonlandırmak ve tuş vuruşlarını günlüğe kaydetmek için ek yükler sağlama yer alır.
Tehdit aktörünün tam kaynağı belirsizliğini koruyor, ancak araçlarında ve yöntemlerinde sık sık yapılan değişiklik, açık kaynaklı yazılım bilgilerini ve finansal kazancı en üst düzeye çıkarmak için taktiklerini ince ayar yapma yeteneklerini gösteriyor.
Check Point, “Bir enfeksiyon zinciri işe yaramadıysa, eki ve cazibeyi değiştirdiler ve bir giriş noktası bulmaya çalışarak aynı şirketi tekrar tekrar hedef almaya çalıştılar” dedi. “Mızraklı kimlik avı yoluyla sosyal mühendislikle, tek yapılması gereken, hiçbir şeyden şüphelenmeyen bir kullanıcının dikkatsiz bir tıklamasıdır.”