Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вредоносная кампания CL-CRI-1014 раскрыта

2 мин
Unit 42, подразделение исследовательской группы Palo Alto Networks, опубликовало отчёт, в котором зафиксирована вредоносная кампания, направленная против множества финансовых организаций на территории Африки. Атакующие, обозначенные как CL-CRI-1014, действуют как посредники первоначального доступа, получая контроль над инфраструктурой компаний и продавая этот доступ другим злоумышленникам на теневых площадках. Согласно отчёту, активная фаза деятельности CL-CRI-1014 продолжается как минимум с 2023 года. В ходе атак используется арсенал с открытым исходным кодом, включая PoshC2 — фреймворк для проведения командных операций, Chisel — утилиту туннелирования, а также популярные легальные средства вроде PsExec от Microsoft и Classroom Spy, предназначенные для удалённого мониторинга. Последний инструмент заменил ранее применявшийся MeshAgent. Исследователи подробно описали типовую цепочку компрометации. Злоумышленники с помощью PsExec удалённо подключаются к промежуточному узлу-прокси, после
Ben White (unsplash)
Ben White (unsplash)

Unit 42, подразделение исследовательской группы Palo Alto Networks, опубликовало отчёт, в котором зафиксирована вредоносная кампания, направленная против множества финансовых организаций на территории Африки. Атакующие, обозначенные как CL-CRI-1014, действуют как посредники первоначального доступа, получая контроль над инфраструктурой компаний и продавая этот доступ другим злоумышленникам на теневых площадках.

Согласно отчёту, активная фаза деятельности CL-CRI-1014 продолжается как минимум с 2023 года. В ходе атак используется арсенал с открытым исходным кодом, включая PoshC2 — фреймворк для проведения командных операций, Chisel — утилиту туннелирования, а также популярные легальные средства вроде PsExec от Microsoft и Classroom Spy, предназначенные для удалённого мониторинга. Последний инструмент заменил ранее применявшийся MeshAgent.

Исследователи подробно описали типовую цепочку компрометации. Злоумышленники с помощью PsExec удалённо подключаются к промежуточному узлу-прокси, после чего активируют Chisel для обхода сетевых фильтров и построения соединений с другими машинами внутри целевой сети. На одном сегменте инфраструктуры запускается PoshC2, позволяющий управлять заражённой системой, на другом — PowerShell и Classroom Spy для наблюдения и дальнейшего контроля.

Фреймворк PoshC2 позволяет формировать импланты на разных языках, включая PowerShell, C#.NET и Python, а также содержит набор встроенных модулей для реализации множества сценариев атак. В свою очередь, Classroom Spy предоставляет следующие возможности: запись экрана, контроль над мышью и клавиатурой, загрузку и выгрузку файлов, кейлоггинг, доступ к микрофону и веб-камере, а также мониторинг приложений и веб-активности.

Для сокрытия присутствия CL-CRI-1014 применяет упаковщики, цифровые подписи, украденные у легитимных компаний, и визуальное маскирование программ под известные продукты. При этом доказательств эксплуатации уязвимостей в программном обеспечении жертв обнаружено не было. Главная ставка сделана на удалённое администрирование и обманные методы доступа.

Оригинал публикации на сайте CISOCLUB: "Palo Alto Networks: хакеры используют открытые инструменты для атак на финансовые компании в Африке".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.