Unit 42, подразделение исследовательской группы Palo Alto Networks, опубликовало отчёт, в котором зафиксирована вредоносная кампания, направленная против множества финансовых организаций на территории Африки. Атакующие, обозначенные как CL-CRI-1014, действуют как посредники первоначального доступа, получая контроль над инфраструктурой компаний и продавая этот доступ другим злоумышленникам на теневых площадках.
Согласно отчёту, активная фаза деятельности CL-CRI-1014 продолжается как минимум с 2023 года. В ходе атак используется арсенал с открытым исходным кодом, включая PoshC2 — фреймворк для проведения командных операций, Chisel — утилиту туннелирования, а также популярные легальные средства вроде PsExec от Microsoft и Classroom Spy, предназначенные для удалённого мониторинга. Последний инструмент заменил ранее применявшийся MeshAgent.
Исследователи подробно описали типовую цепочку компрометации. Злоумышленники с помощью PsExec удалённо подключаются к промежуточному узлу-прокси, после чего активируют Chisel для обхода сетевых фильтров и построения соединений с другими машинами внутри целевой сети. На одном сегменте инфраструктуры запускается PoshC2, позволяющий управлять заражённой системой, на другом — PowerShell и Classroom Spy для наблюдения и дальнейшего контроля.
Фреймворк PoshC2 позволяет формировать импланты на разных языках, включая PowerShell, C#.NET и Python, а также содержит набор встроенных модулей для реализации множества сценариев атак. В свою очередь, Classroom Spy предоставляет следующие возможности: запись экрана, контроль над мышью и клавиатурой, загрузку и выгрузку файлов, кейлоггинг, доступ к микрофону и веб-камере, а также мониторинг приложений и веб-активности.
Для сокрытия присутствия CL-CRI-1014 применяет упаковщики, цифровые подписи, украденные у легитимных компаний, и визуальное маскирование программ под известные продукты. При этом доказательств эксплуатации уязвимостей в программном обеспечении жертв обнаружено не было. Главная ставка сделана на удалённое администрирование и обманные методы доступа.
Оригинал публикации на сайте CISOCLUB: "Palo Alto Networks: хакеры используют открытые инструменты для атак на финансовые компании в Африке".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.