Siber güvenlik araştırmacıları, en az Temmuz 2023’ten beri erişimi sürdürmek için açık kaynaklı ve halka açık araçların bir karışımını kullanarak Afrika genelinde finansal kuruluşları hedefleyen bir dizi siber saldırıya dikkat çekiyor.
Palo Alto Networks Birimi 42, takma adın altındaki etkinliği izliyor CL-CRI-1014“CL”, “küme” ve “Cri” ni ifade eder, “cezai motivasyon” anlamına gelir.
Saldırıların nihai hedefinin ilk erişimi elde etmek ve daha sonra yeraltı forumlarındaki diğer suçlu aktörlere satmak ve tehdit oyuncusunu ilk erişim brokeri (IAB) haline getirmek olduğundan şüpheleniliyor.
Araştırmacılar Tom Fakterman ve Guy Levi, “Tehdit oyuncusu meşru uygulamalardan imzaları dosya imzaları oluşturmak, araç setlerini gizlemek ve kötü niyetli faaliyetlerini maskelemek için kopyalar.” Dedi. “Tehdit aktörleri genellikle meşru ürünleri kötü niyetli amaçlar için taklit ediyor.”
Saldırılar, komut ve kontrol için POSHC2 (C2), kötü niyetli ağ trafiğini tünelleme için keski ve uzaktan yönetim için sınıf casusunun dağıtımıyla karakterize edilir.
Aktörlerin hedef ağları ihlal etmek için kullandıkları tehdit tam yöntem net değildir. Bir taban elde edildikten sonra, saldırı zincirlerinin, makineleri komuta etmek için meshcentral ajan ve daha sonra sınıf casusunu dağıttığı ve daha sonra keski güvenlik duvarlarını atlamak için bıraktığı ve POSHC2’yi uzlaşmış ağdaki diğer pencerelere yaydığı bulundu.
Algılama çabalarını ortadan kaldırmak için, yükler Microsoft Teams, Palo Alto Networks Cortex ve Broadcom VMware araçlarının simgelerini kullanarak meşru yazılım olarak aktarılır. POSHC2, üç farklı yöntem kullanılarak sistemlerde devam eder –
- Bir Hizmet Kurma
- Başlangıç klasöründeki araca bir Windows kısayol (LNK) dosyasını kaydetme
- “Palo Alto Cortex Services” adı altında planlanmış bir görev kullanma
Siber güvenlik şirketi tarafından gözlemlenen bazı olaylarda, tehdit aktörlerinin kullanıcı kimlik bilgilerini çaldıkları ve bunları POSHC2 kullanarak bir proxy kurmak için kullandıkları söyleniyor.
Araştırmacılar, “POSHC2, bir komut ve kontrol (C2) sunucusuyla iletişim kurmak için bir proxy kullanabilir ve tehdit oyuncusunun POSHC2 implantlarından bazılarını özellikle hedeflenen ortam için uyarladığı görülüyor.”
Bu, POSHC2’nin Afrika’daki finansal hizmetlere yönelik saldırılarda ilk kez kullanılmamıştır. Eylül 2022’de Check Point, Metasploit, PosHC2, Dwservice ve Asyncrat’ı teslim etmek için Fildişi Sahili, Fas, Kamerun, Senegal ve Togo’da bulunan finans ve sigorta şirketlerini hedefleyen Dangeroussavanna olarak adlandırılan bir mızrak aktı kampanyası detaylandırıldı.
Açıklama, Trustwave Spiderlabs’ın ABD’de, Tayvan, Tayvan, Avustralya, Bahreyn, Kanada’da, Hindistan, İtalya, Peru ve Singapur genelinde zaten 16 kurban talep etmiş olan Dire Wolf adlı yeni bir fidye yazılımı grubuna ışık tutmasıyla geliyor. En çok hedeflenen sektörler teknoloji, üretim ve finansal hizmetlerdir.
Dire Wolf Locker’ın analizi, Golang’da yazıldığını ortaya koydu ve sistem günlüğünü devre dışı bırakma, 75 hizmet ve 59 uygulamanın sabit kodlu bir listesini sonlandırma ve gölge kopyalarını silerek kurtarma çabalarını engelleme yetenekleriyle birlikte geliyor.
Şirket, “Dire Wolf tarafından kullanılan başlangıç erişim, keşif veya yanal hareket teknikleri bu noktada bilinmemekle birlikte, kuruluşlar iyi güvenlik uygulamalarını takip edecek ve bu analizde ortaya çıkan tekniklerin izlenmesini mümkün kılacaklar.” Dedi.