Geçtiğimiz iki yıl boyunca, “DangerousSavanna” adlı kalıcı kötü niyetli bir kampanya, büyük finans kurumlarını ve sigorta şirketlerini hedef aldı.
Orta ve Batı Afrika’da, finans kurumlarının %85’inden fazlası defalarca çeşitli zarar verici siber saldırılara maruz kaldı.
Bu vakaların dörtte birinde ağ sistemlerine izinsiz girişlerden kaynaklanan finans sektörü ve bankacılık sektörü için olası en kötü sonuçlar şunlardır:
- Bilgi sızıntıları
- Kimlik Hırsızı
- Para transferi dolandırıcılığı
- Sahte çeklerde bankadan para çekme
Hedeflenen Ülkeler
Bu kampanyada hedeflenen tüm ülkeler aşağıda listelenmiştir:-
- Fildişi Sahili
- Fas
- Kamerun
- Senegal
- Gitmek
Mızraklı kimlik avı saldırıları, yukarıda listelenen tüm ülkeleri hedef alır. Son aylarda Fildişi Sahili’ne özellikle dikkat edildiği görülmektedir.
Teknik Analiz
Bir sosyal mühendislik saldırısı, verilere erişim elde etmek için bir teknik olarak finansal kurumların çalışanlarına gönderilen e-postalara kötü amaçlı eklerin yerleştirildiği bir saldırıdır.
Sonuç olarak, aşağıdakiler gibi kullanıma hazır kötü amaçlı yazılımlar dağıtıldı:-
- metasploit
- PoshC2
- DW servisi
- zaman uyumsuz
Tehdit aktörleri, enfeksiyonun erken aşamalarında hedeflenen şirketlerin çalışanlarını agresif bir şekilde takip ederken, saldırıya getirdikleri yaratıcılık düzeyi görülebilir.
Rapora göre, bulaşma zinciri, kendi kendine yazılan yürütülebilir yükleyicilerin ve bulaşmayı yaymak için kullanılan kötü amaçlı dosya türlerinin birleşimine bağlı olarak, bir bulaşma zincirinden diğerine sık sık değişir. Aşağıda kullanılan dosya türlerinden bahsettik: –
Fransızca yazılmış Gmail ve Hotmail servislerine bir dizi sahte e-posta gönderiliyor. Ayrıca, finansal kurumların güvenilirliğini artırmak için bu mesajlar Afrika’daki diğer kurumları taklit ediyor.
İlk saldırı dalgaları, 2020’nin sonlarında ve 2021’in başlarında, öncelikle .NET tabanlı araçlara dayanan ve bir dizi sistemi hedef almak için kullanıldı.
Bir sonraki aşamadaki damlalıklar ve yükleyiciler, PDF dosyaları olarak gizlendi ve uzak sunuculardan indirilmek üzere kimlik avı e-postalarında ek olarak gönderildi.
Kurulduktan sonra ilk dayanak noktasının ardından bir dizi faaliyet gerçekleştirilebilir. Bunlar arasında:
- Kalıcılığı uzun süre sürdürmek.
- Keşif faaliyetleri yürütülmektedir.
- Ek yüklerin teslimi.
Tehdit aktörünün tam olarak nereden kaynaklandığı hala belli değil. Buna karşılık, araçlarında ve yöntemlerinde tekrarlanan değişiklikler, açık kaynaklı yazılımların anlaşılmasını ve tehdit aktörlerinin karlarını en üst düzeye çıkarmak için stratejileri göstermektedir.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap