Los investigadores de ciberseguridad están llamando la atención sobre una serie de ataques cibernéticos dirigidos a organizaciones financieras en África desde al menos julio de 2023 utilizando una combinación de herramientas de código amplio y disponibles para permanecer el golpe.
Palo Stop Networks Unit 42 está rastreando la actividad bajo el apodo CL-CRI-1014donde «CL» se refiere a «clúster» y «cri» significa «motivación criminal».
Se sospecha que el objetivo final de los ataques es obtener golpe auténtico y luego venderlo a otros actores penales en foros subterráneos, lo que hace del actor de amenaza un corredor de golpe auténtico (IAB).
«El actor de amenaza copia las firmas de aplicaciones legítimas para forjar firmas de archivos, para disfrazar su conjunto de herramientas y esconder sus actividades maliciosas», dijeron los investigadores Tom Fakterman y Guy Levi. «Los actores de amenaza a menudo inscriben productos legítimos para fines maliciosos».
Los ataques se caracterizan por el despliegue de herramientas como POSHC2 para comando y control (C2), cincel para túneles de tráfico de redes maliciosas y informador en el clase para la dependencia remota.
El método exacto que los actores de amenaza usan para violar las redes de destino no está claro. Una vez que se obtiene un punto de apoyo, se ha opuesto que las cadenas de ataque implementan un agente Meshcentral y posterior informador en el clase para comandar las máquinas, y luego sueltan el cincel para evitar los firewalls y extender POSHC2 a otros hosts de Windows en la red comprometida.
Para evitar los esfuerzos de detección, las cargas bártulos se pasan como un software cierto, utilizando los iconos de los equipos de Microsoft, la corteza de Palo Stop Networks y las herramientas de Broadcom VMware. POSHC2 se persiste en los sistemas utilizando tres métodos diferentes –
- Configurar un servicio
- Economizar un archivo de golpe directo de Windows (LNK) en la útil en la carpeta de inicio
- Uso de una tarea programada bajo el nombre «Palo Stop Cortex Services»
En algunos incidentes observados por la compañía de seguridad cibernética, se dice que los actores de amenaza han robado las credenciales de los usuarios y las usaron para configurar un proxy utilizando POSHC2.
«PosHC2 puede usar un proxy para comunicarse con un servidor de comando y control (C2), y parece que el actor de amenaza adaptó algunos de los implantes POSHC2 específicamente para el entorno objetivo», señalaron los investigadores.
Esta no es la primera vez que POSHC2 se utiliza en ataques dirigidos a servicios financieros en África. En septiembre de 2022, Check Point detalló una campaña de phishing de lanceta denominado Dangeroussavanna que se dirigió a compañías financieras y de seguros ubicadas en Ivory Coast, Marruecos, Camerún, Senegal y Togo para entregar MetaSploit, POSHC2, DWService y Asyncrat.
La divulgación se produce cuando SpiderLabs de Trustwave arroja luz sobre un nuevo agrupación de ransomware llamado Dire Wolf que ya ha reclamado 16 víctimas en los Estados Unidos, Tailandia, Taiwán, Australia, Bahrein, Canadá, India, Italia, Perú y Singapur desde su emergencia el mes pasado. Los principales sectores objetivo son la tecnología, la fabricación y los servicios financieros.
El estudio del Lolf Locker de Dire Wolf ha revelado que está escrito en Golang y viene con capacidades para deshabilitar el registro del sistema, finalizar una nómina codificada de 75 servicios y 59 aplicaciones, e inhibir los esfuerzos de recuperación al eliminar las copias de las sombras.
«Aunque no se conocen las técnicas de golpe auténtico, inspección o movimiento anexo utilizados por Dire Wolf, las organizaciones seguirán buenas prácticas de seguridad y permitirán el monitoreo de las técnicas reveladas en este estudio», dijo la compañía.
