Los investigadores de ciberseguridad están llamando la atención sobre una serie de ataques cibernéticos dirigidos a organizaciones financieras en África desde al menos julio de 2023 utilizando una combinación de herramientas de código abierto y disponibles para mantener el acceso.
Palo Alto Networks Unit 42 está rastreando la actividad bajo el apodo CL-CRI-1014donde «CL» se refiere a «clúster» y «cri» significa «motivación criminal».
Se sospecha que el objetivo final de los ataques es obtener acceso inicial y luego venderlo a otros actores penales en foros subterráneos, lo que hace del actor de amenaza un corredor de acceso inicial (IAB).
«El actor de amenaza copia las firmas de aplicaciones legítimas para forjar firmas de archivos, para disfrazar su conjunto de herramientas y enmascarar sus actividades maliciosas», dijeron los investigadores Tom Fakterman y Guy Levi. «Los actores de amenaza a menudo inscriben productos legítimos para fines maliciosos».
Los ataques se caracterizan por el despliegue de herramientas como POSHC2 para comando y control (C2), cincel para túneles de tráfico de redes maliciosas y espía en el aula para la administración remota.
El método exacto que los actores de amenaza usan para violar las redes de destino no está claro. Una vez que se obtiene un punto de apoyo, se ha encontrado que las cadenas de ataque implementan un agente Meshcentral y posterior espía en el aula para comandar las máquinas, y luego sueltan el cincel para evitar los firewalls y extender POSHC2 a otros hosts de Windows en la red comprometida.
Para evitar los esfuerzos de detección, las cargas útiles se pasan como un software legítimo, utilizando los iconos de los equipos de Microsoft, la corteza de Palo Alto Networks y las herramientas de Broadcom VMware. POSHC2 se persiste en los sistemas utilizando tres métodos diferentes –
- Configurar un servicio
- Guardar un archivo de acceso directo de Windows (LNK) en la herramienta en la carpeta de inicio
- Uso de una tarea programada bajo el nombre «Palo Alto Cortex Services»
En algunos incidentes observados por la compañía de seguridad cibernética, se dice que los actores de amenaza han robado las credenciales de los usuarios y las usaron para configurar un proxy utilizando POSHC2.
«PosHC2 puede usar un proxy para comunicarse con un servidor de comando y control (C2), y parece que el actor de amenaza adaptó algunos de los implantes POSHC2 específicamente para el entorno objetivo», señalaron los investigadores.
Esta no es la primera vez que POSHC2 se utiliza en ataques dirigidos a servicios financieros en África. En septiembre de 2022, Check Point detalló una campaña de phishing de lanza denominado Dangeroussavanna que se dirigió a compañías financieras y de seguros ubicadas en Ivory Coast, Marruecos, Camerún, Senegal y Togo para entregar MetaSploit, POSHC2, DWService y Asyncrat.
La divulgación se produce cuando SpiderLabs de Trustwave arroja luz sobre un nuevo grupo de ransomware llamado Dire Wolf que ya ha reclamado 16 víctimas en los Estados Unidos, Tailandia, Taiwán, Australia, Bahrein, Canadá, India, Italia, Perú y Singapur desde su emergencia el mes pasado. Los principales sectores objetivo son la tecnología, la fabricación y los servicios financieros.
El análisis del Lolf Locker de Dire Wolf ha revelado que está escrito en Golang y viene con capacidades para deshabilitar el registro del sistema, finalizar una lista codificada de 75 servicios y 59 aplicaciones, e inhibir los esfuerzos de recuperación al eliminar las copias de las sombras.
«Aunque no se conocen las técnicas de acceso inicial, reconocimiento o movimiento lateral utilizados por Dire Wolf, las organizaciones seguirán buenas prácticas de seguridad y permitirán el monitoreo de las técnicas reveladas en este análisis», dijo la compañía.