Tin tặc liên tục nhắm mục tiêu các dịch vụ tài chính ở các quốc gia châu Phi nói tiếng Pháp

Các công ty tài chính và bảo hiểm lớn đặt tại các quốc gia nói tiếng Pháp ở châu Phi đã bị nhắm mục tiêu trong hai năm qua như một phần của chiến dịch độc hại dai dẳng có tên mã DangerousSavanna.

Các quốc gia bị nhắm mục tiêu bao gồm Bờ Biển Ngà, Ma-rốc, Cameroon, Senegal và Togo, với các cuộc tấn công lừa đảo tập trung chủ yếu vào Bờ Biển Ngà trong những tháng gần đây, công ty an ninh mạng Israel Check Point cho biết trong một báo cáo hôm thứ Ba.

Các chuỗi lây nhiễm đòi hỏi việc nhắm mục tiêu vào nhân viên của các tổ chức tài chính với các thông điệp kỹ thuật xã hội có chứa tệp đính kèm độc hại như một phương tiện truy cập ban đầu, cuối cùng dẫn đến việc triển khai có sẵn như Metasploit, PoshC2, DWservice và AsyncRAT.

“Khả năng sáng tạo của các tác nhân đe dọa được thể hiện trong giai đoạn lây nhiễm ban đầu, khi họ kiên trì theo đuổi nhân viên của các công ty mục tiêu, liên tục thay đổi các chuỗi lây nhiễm sử dụng nhiều loại tệp độc hại, từ trình tải thực thi tự viết và tài liệu độc hại, sang các tệp ISO, LNK, JAR và VBE bằng nhiều cách kết hợp khác nhau, “công ty cho biết.

Các email lừa đảo được viết bằng tiếng Pháp và được gửi bằng các dịch vụ Gmail và Hotmail, trong đó các email cũng mạo danh các tổ chức tài chính khác ở Châu Phi để nâng cao uy tín của họ.

Xem tiếp:   Atlassian phát hành bản vá cho hợp lưu không ngày khuyết tật được khai thác trong tự nhiên

Mặc dù các cuộc tấn công vào năm 2021 đã tận dụng các tài liệu Word có macro để làm mồi nhử, nhưng quyết định chặn macro trong các tệp được tải xuống từ Internet theo mặc định vào đầu năm nay đã khiến các tác nhân DangerousSavanna chuyển sang các tệp PDF và ISO.

Hơn nữa, làn sóng tấn công đầu tiên từ cuối năm 2020 đến đầu năm 2021 liên quan đến việc sử dụng các công cụ dựa trên .NET riêng biệt, được ngụy trang dưới dạng tệp PDF được đính kèm với email lừa đảo, để lấy các bộ nhỏ và bộ tải ở giai đoạn tiếp theo từ các máy chủ từ xa. .

Bất kể phương pháp được sử dụng là gì, các hoạt động sau khai thác được thực hiện sau khi có được chỗ đứng ban đầu bao gồm thiết lập tính bền bỉ, thực hiện trinh sát và cung cấp thêm tải trọng để điều khiển máy chủ từ xa, tiêu diệt các quy trình chống và ghi lại các lần nhấn phím.

Nguồn gốc chính xác của tác nhân đe dọa vẫn chưa rõ ràng, nhưng sự thay đổi thường xuyên trong các công cụ và phương pháp của nó chứng tỏ kiến ​​thức của họ về phần mềm nguồn mở và khả năng tinh chỉnh các chiến thuật của họ để tối đa hóa lợi nhuận tài chính.

Check Point cho biết: “Nếu một chuỗi lây nhiễm không hoạt động, họ đã thay đổi tệp đính kèm và mồi nhử, đồng thời cố gắng nhắm mục tiêu vào cùng một công ty để cố gắng tìm điểm vào,” Check Point nói. “Với kỹ thuật xã hội thông qua lừa đảo trực tuyến, tất cả những gì cần là một cú nhấp chuột thận trọng của một người dùng không nghi ngờ.”

Xem tiếp:   Ransomware là gì và làm thế nào bạn có thể bảo vệ doanh nghiệp của mình khỏi nó?

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …