DangerousSavanna-Detektion: Angriffe auf verschiedene Finanzorganisationen aufgedeckt
Inhaltsverzeichnis:
Sicherheitsanalysten enthüllten eine zweijährige Spear-Phishing-Kampagne, die auf Entitäten im Finanzsektor in französischsprachigen afrikanischen Ländern – Marokko, Togo, Elfenbeinküste, Kamerun und Senegal – abzielte. Die Kampagne ist unter dem Codenamen DangerousSavanna bekannt und ihre Betreiber verlassen sich stark auf Social-Engineering-Techniken für den ersten Zugriff, indem sie maßgeschneiderte Malware wie AsyncRAT, PoshC2, und Metasploit.
Der Modus Operandi der Angreifer impliziert, dass finanzielle Gewinne die Hauptmotivation für diese Angriffsserie sind.
Detect DangerousSavanna
Die Taktiken und Techniken krimineller Hacker entwickeln sich ständig weiter und werden immer ausgefeilter, um Organisationen weltweit zu ködern. Das Team der Threat Hunting Engineers von SOC Prime hat eine Follow-the-Sun-Methodik übernommen, um die rechtzeitige Bereitstellung von geprüften Erkennungsinhalten sicherzustellen und Sicherheitsfachleute dabei zu unterstützen, ihre proaktive Cyberabwehr zu optimieren. Die folgende Sigma-basierte Regel von SOC Prime’s Threat Bounty Entwickler Kyaw Pyiyt Htet erkennt die Spuren von Einbrüchen, die für die Angriffsoperationen von DangerousSavanna charakteristisch sind:
Die Regel kann auf 26 SIEM-, EDR- und XDR-Lösungen angewendet werden, die von der Plattform von SOC Prime unterstützt werden. Zur Sicherstellung einer besseren Sichtbarkeit in Bezug auf verwandte Bedrohungen ist die Erkennung mit dem MITRE ATT&CK®-Frameworkausgerichtet. Die Verwendung von verhaltensbasierten Sigma-Regeln, die mit ATT&CK Techniken, Sub-Techniken und Tools getaggt sind, ist ein bewährter Ansatz zur Verbesserung der Sicherheitslage. Greifen Sie auf eine umfassende Bibliothek mit Erkennungsinhalten zu, die von der hervorragenden Expertise von über 600 Threat-Bounty-Programmforschern und Threat-Huntern unterstützt wird, die aktiv ihre eigenen Erkennungsinhalte zur SOC Prime-Plattform beitragen und dafür wiederkehrend belohnt werden. Drücken Sie den Erkundungs-Erkennungen Button, um in einem Repository mit über 200.000 kontextuell angereicherten Erkennungsstücken zu stöbern.
DangerousSavanna-Analyse
Check Point Research (CPR) hat am 6. September 2022 die Ergebnisse einer tiefgehenden Untersuchung der langanhaltenden schädlichen Kampagne veröffentlicht, die Organisationen im Finanzsektor in mehreren zentral- und westafrikanischen Ländern kompromittiert. Sicherheitsanalysten erläuterten die Vorgehensweisen der Gegner, einschließlich der Nutzung von Social Engineering-Taktiken, um unbefugten Zugang zu den Geräten und Netzwerken der Opfer zu erlangen. Bedrohungsakteure nutzten Domains, die ihnen dabei halfen, legitim zu erscheinen, indem sie sich als Finanzunternehmen ausgaben, um Opfer anzulocken. Die Gegner bombardierten ihre Ziele mit Phishing-E-Mails, die über die Dienste von Gmail und Hotmail mit bewaffneten Anhängen zum Herunterladen versandt wurden. Diese Anhänge waren Dokumente verschiedener Typen, einschließlich .NET-basierter Tools, die als PDF-Dateien getarnt waren. Forscher berichten, dass die Bedrohungsakteure hinter dieser Kampagne besonders hartnäckig sind, indem sie verschiedene Angriffsvektoren ausprobieren, um in die Systeme der Opfer einzudringen. Zum Zeitpunkt des Verfassens dieses Artikels sind mindestens drei Unternehmen betroffen.
Aktivitäten nach der Infektion umfassten die Erlangung von Persistenz, das Sammeln von Informationen und das Abrufen weiterer schädlicher Nutzlasten.
Möchten Sie mehr darüber erfahren, wie Sie Ihre Sicherheitsmaßnahmen verbessern können? Treten Sie SOC Prime’s Plattform bei, um Zugang zum weltweit größten Pool an Erkennungsinhalten, die von Branchenführern erstellt wurden, zu erhalten und die Effizienz in Ihrem Sicherheitsökosystem zu steigern. SOC Prime, mit Hauptsitz in Boston, USA, wird von einem internationalen Team erfahrener Experten unterstützt, die sich der Förderung kollaborativer Cyberabwehr verschrieben haben.
