Киберпреступники используют открытые инструменты для атак на финансовый сектор Африки

Аналитики предполагают, что группа действует как брокер начального доступа (initial access broker), специализируясь на взломе корпоративных сетей и перепродаже учетных данных другим киберпреступным группировкам. Для этого злоумышленники применяют стандартный набор инструментов, включающий фреймворк PoshC2, туннелирующую утилиту Chisel и программу удаленного администрирования Classroom Spy.

Особенностью атак стало использование техники маскировки вредоносного ПО под легитимные приложения. Злоумышленники копируют цифровые подписи Microsoft, VMware и других вендоров, чтобы избежать обнаружения системами защиты. Это не означает уязвимости в продуктах этих компаний, а лишь свидетельствует о попытках злоумышленников скрыть свою деятельность.

Технический анализ показал, что атаки проходят по четкому сценарию. Сначала злоумышленники получают доступ к сети, используя украденные учетные данные или эксплойты. Затем развертывают PoshC2 для выполнения команд и перемещения внутри инфраструктуры. Для обхода межсетевых экранов применяется Chisel, создающий скрытые туннели. Финальным этапом становится установка Classroom Spy, который дает злоумышленникам полный контроль над системами жертв: от мониторинга экранов до перехвата ввода с клавиатуры.

Ранее группировка использовала другой инструмент - MeshAgent, но в последних атаках перешла на Classroom Spy, который позиционируется как ПО для мониторинга компьютеров в учебных заведениях. Установка маскируется под системные процессы, а бинарные файлы переименовываются (например, в systemsvc.exe или vm3dservice.exe), чтобы избежать обнаружения.

PoshC2 играет ключевую роль в атаках: с его помощью злоумышленники выполняют команды, развертывают дополнительные полезные нагрузки и настраивают прокси-серверы для связи с командными центрами. В некоторых случаях импланты PoshC2 упаковываются с помощью обфускатора на языке Nim, что усложняет анализ. Кроме того, вредоносный код активируется только в доменных средах Active Directory, что может быть механизмом защиты от песочниц.

Для обеспечения устойчивости в системе злоумышленники используют несколько методов, включая создание сервисов, добавление ярлыков в автозагрузку и планировщик задач. Интересно, что в одном из случаев вредоносный процесс был замаскирован под обновление Cortex - продукта Palo Alto Networks, что демонстрирует осведомленность атакующих о защитных решениях в целевых сетях.

Chisel применяется для создания SOCKS-прокси, позволяя злоумышленникам скрытно передавать трафик через скомпрометированные системы. Это помогает обходить ограничения межсетевых экранов и оставаться незамеченными.

Эксперты Unit 42 подчеркивают, что атаки на финансовый сектор Африки продолжаются, и призывают компании проверять свои системы на наличие индикаторов компрометации (IoC), а также следить за утечками данных в даркнете. Своевременное обнаружение и блокировка подобных угроз могут предотвратить масштабные финансовые потери и утечку конфиденциальной информации.

Domains

• bixxler.drennonmarketingreviews.com
• c2-51-20-36-117.eu-north-1.compute.amazonaws.com
• ec2-18-140-227-82.ap-southeast-1.compute.amazonaws.com
• finix.newsnewth365.com
• flesh.tabtemplates.com
• genova.drennonmarketingreviews.com
• health.aqlifecare.com
• mozal.finartex.com
• savings.foothillindbank.com
• tnn.specialfinanceinsider.com
• vigio.finartex.com
• vlety.forwardbanker.com

SHA256

• 0bb7a473d2b2a3617ca12758c6fbb4e674243daa45c321d53b70df95130e23bc
• 14b2c620dc691bf6390aef15965c9587a37ea3d992260f0cbd643a5902f0c65b
• 2ce8653c59686833272b23cc30235dae915207bf9cdf1d08f6a3348fb3a3e5c1
• 3bbe3f42857bbf74424ff4d044027b9c43d3386371decf905a4a1037ad468e2c
• 5e4511905484a6dc531fa8f32e0310a8378839048fe6acfeaf4dda2396184997
• 633f90a3125d0668d3aac564ae5b311416f7576a0a48be4a42d21557f43d2b4f
• 6cfa5f93223db220037840a2798384ccc978641bcec9c118fde704d40480d050
• 7e0aa32565167267bce5f9508235f1dacbf78a79b44b852c25d83ed093672ed9
• 831d98404ce5e3e5499b558bb653510c0e9407e4cb2f54157503a0842317a363
• 9149ea94f27b7b239156dc62366ee0f85b0497e1a4c6e265c37bedd9a7efc07f
• 9a84929e3d254f189cb334764c9b49571cafcd97a93e627f0502c8a9c303c9a4
• 9d9cb28b5938529893ad4156c34c36955aab79c455517796172c4c642b7b4699
• a41e7a78f0a2c360db5834b4603670c12308ff2b0a9b6aeaa398eeac6d3b3190
• a61092a13155ec8cb2b9cdf2796a1a2a230cfadb3c1fd923443624ec86cb7044
• aed1b6782cfd70156b99f1b79412a6e80c918a669bc00a6eee5e824840c870c1
• bc8b4f4af2e31f715dc1eb173e53e696d89dd10162a27ff5504c993864d36f2f
• d528bcbfef874f19e11bdc5581c47f482c93ff094812b8ee56ea602e2e239b56
• d81a014332e322ce356a0e2ed11cffddd37148b907f9fdf5db7024e192ed4b70
• e14b07b67f1a54b02fc6b65fdba3c9e41130f283bfea459afa6bee763d3756f8
• e788f829b1a0141a488afb5f82b94f13035623609ca3b83f0c6985919cd9e83b
• f1919abe7364f64c75a26cff78c3fcc42e5835685301da26b6f73a6029912072
• f5614dc9f91659fb956fd18a5b81794bd1e0a0de874b705e11791ae74bb2e533