Поделиться
Хакеры активно используют Open Source в атаках на финансовый сектор
Исследователи выявили ранее неизвестный кластер угроз, который активно эксплуатирует опенсорсные и общедоступные инструменты в ходе атак.
Криминальный кластер
Исследователи компании Palo Alto Networks - подразделения Unit 42 - опубликовали опубликовали исследование деятельности хакерской группировки, которая серийно атакует финансовые учреждения на африканском континенте, используя комбинацию общедоступных инструментов и программных пакетов с открытым исходным кодом.
Мотивация злоумышленников носит финансово мотивированный характер, поэтому эксперты Unit 42 присвоили кампании идентификатор CL-CRI-1014, где CL - обозначение кластера, а CRI - обозначение криминальных мотивов в качестве основы.
«Злоумышленники копируют цифровые подписи легитимных приложений с целью подмены и маскировки своих инструментов и сокрытия вредоносной деятельности, - отметили исследователи Том Фактерман (Tom Fakterman) и Гай Леви (Guy Levi). - Хакеры нередко подменяют компоненты легитимных продуктов для злонамеренного использования».
Среди легитимных инструментов, которыми пользуются злоумышленники, - пентест-фреймворк PoshC2, туннельная утилита Chisel и средство удаленного доступа Classroom Spy.
Остается пока невыясненным, каким именно образом злоумышленники проникают в целевые сети изначально. Но после того, как они там успешно обосновываются, в целевые системы выгружаются сначала MeshCentral Agent - еще один инструмент удаленного управления, затем Classroom Spy, а уже после этого - Chisel, который используется для обхода файерволлов. Затем на все доступне системы под управлением Windows расставляется PoshC2.
Все эти утилиты маскируются под легитимное ПО самым простым способом - через подмену иконок. Злоумышленники используют иконки Microsoft Teams, Palo Alto Networks Cortex и Broadcom VMware Tools.
Разухабистый C2
Постоянство присутствия PoshC2 обеспечивается тремя различными методами: через регистрацию его как отдельной службы, сохранение файла LNK со ссылкой на него в каталоге Startup (что обеспечивает его запуск при каждом рестарте системы), или через создание отложенной задачи под названием Palo Alto Cortex Services.
Как минимум в нескольких случаях хакеры успешно выкрадывали пользовательские реквизиты доступа и использовали их для создания прокси с помощью PoshC2.
«PoshC2 может использовать прокси для коммуникации с контрольным сервером, и, похоже, злоумышленники переработали некоторые импланты PoshC2 специально под целевые среды», - отметили исследователи.
«Многие инструменты, которые хакеры используют в кибератаках, являются совершенно легитимными утилитами, ими также пользуются и специалисты по тестированию безопасности (пентестеры)», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Их суть и статус не меняются, если ими пользуются для причинения вреда. Проблема в том, что наличие у них легитимных цифровых подписей снижает заметность для различных защитных средств, что, в конечном счете, повышает результативность атак, хотя по идее их несанкционированное появление в сетях должно быть немедленным сигналом тревоги.
PoshC2 и раньше использовался для атак на финансовые службы в Африке: в сентябре 2022 г. эксперты Check Point описывали спиэр-фишинговую кампанию DangerousSavanna, операторы которой атаковали финансовые и страховые компании в Кот Д'Ивуар, Марокко, Камеруне, Сенегали и Того. Помимо PoshC2 в атаках фигурировали Metasploit, DWservice и AsyncRAT.
Короткая ссылка
