Pesquisadores de cibersegurança estão alertando para uma série de ataques cibernéticos direcionados a organizações financeiras em toda a África desde pelo menos julho de 2023.
Esses ataques utilizam uma combinação de ferramentas de código aberto e publicamente disponíveis para manter acesso.
A Palo Alto Networks Unit 42 está monitorando a atividade sob o codinome CL-CRI-1014, onde "CL" refere-se a "cluster" e "CRI" indica "motivação criminal".
Suspeita-se que o objetivo final dos ataques seja obter acesso inicial e, em seguida, vender este acesso a outros atores criminosos em fóruns underground, tornando o agente de ameaça um corretor de acesso inicial (IAB, na sigla em inglês).
"O agente de ameaça copia assinaturas de aplicativos legítimos para forjar assinaturas de arquivos, a fim de disfarçar seu conjunto de ferramentas e mascarar suas atividades maliciosas", disseram os pesquisadores Tom Fakterman e Guy Levi.
Os agentes de ameaças muitas vezes falsificam produtos legítimos para propósitos maliciosos.
Os ataques são caracterizados pelo uso de ferramentas como PoshC2 para comando e controle (C2), Chisel para tunelamento de tráfego de rede malicioso e Classroom Spy para administração remota.
Não é claro o método exato usado pelos agentes de ameaças para invadir as redes alvo.
Uma vez obtido um ponto de apoio, foi constatado que as cadeias de ataques implantam o MeshCentral Agent e, posteriormente, o Classroom Spy para comandar as máquinas, e então instalam Chisel para contornar firewalls e espalhar o PoshC2 para outros hosts Windows na rede comprometida.
Para evitar a detecção, os payloads úteis são apresentadas como software legítimo, usando os ícones do Microsoft Teams, Palo Alto Networks Cortex e Broadcom VMware Tools.
PoshC2 é mantido nos sistemas usando três métodos diferentes:
- Configuração de um serviço
- Salvando um arquivo de atalho do Windows (LNK) para a ferramenta na pasta de inicialização
- Usando uma tarefa agendada sob o nome "Palo Alto Cortex Services"
Em alguns incidentes observados pela empresa de cibersegurança, diz-se que os agentes de ameaças roubaram credenciais de usuário e as usaram para configurar um proxy usando PoshC2.
"PoshC2 pode usar um proxy para se comunicar com um servidor de comando e controle (C2), e parece que o agente de ameaça adaptou alguns dos implantes PoshC2 especificamente para o ambiente alvo", observaram os pesquisadores.
Não é a primeira vez que o PoshC2 é usado em ataques direcionados a serviços financeiros na África.
Em setembro de 2022, a Check Point detalhou uma campanha de spear-phishing denominada DangerousSavanna que visava empresas financeiras e de seguros localizadas na Costa do Marfim, Marrocos, Camarões, Senegal e Togo para entregar Metasploit, PoshC2, DWservice e AsyncRAT.
A divulgação acontece enquanto a Trustwave SpiderLabs lança luz sobre um novo grupo de ransomware chamado Dire Wolf, que já reivindicou 16 vítimas nos EUA, Tailândia, Taiwan, Austrália, Bahrein, Canadá, Índia, Itália, Peru e Singapura desde sua aparição no mês passado.
Os setores mais visados são tecnologia, manufatura e serviços financeiros.
Análises do bloqueador Dire Wolf revelaram que é escrito em Golang e vem com capacidades para desativar logs do sistema, encerrar uma lista pré-definida de 75 serviços e 59 aplicativos, e inibir esforços de recuperação deletando cópias de sombra.
"Embora nenhuma técnica de acesso inicial, reconhecimento ou movimentação lateral usada pela Dire Wolf seja conhecida neste ponto, as organizações devem seguir boas práticas de segurança, bem como habilitar monitoramento para as técnicas reveladas nesta análise", disse a empresa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...