Détection de DangerousSavanna : Révélations sur les Attaques Ciblant Diverses Organisations Financières
Table des matières :
Des analystes en sécurité ont révélé une campagne de spear-phishing de deux ans visant des entités du secteur financier dans les pays francophones d’Afrique – le Maroc, le Togo, la Côte d’Ivoire, le Cameroun et le Sénégal. La campagne est baptisée DangerousSavanna, et ses opérateurs s’appuient fortement sur des techniques d’ingénierie sociale pour l’accès initial, employant par conséquent des malwares personnalisés tels que AsyncRAT, PoshC2, et Metasploit.
Le mode opératoire des adversaires implique que le gain financier est la principale motivation de cette série d’attaques.
Détecter DangerousSavanna
Les tactiques et techniques des hackers criminels continuent d’évoluer, développant des méthodes plus sophistiquées pour piéger les organisations à travers le monde. L’équipe d’ingénieurs chasseurs de menaces de SOC Prime a adopté une méthodologie de suivi du soleil pour assurer une livraison rapide de contenu de détection validé, aidant les experts en sécurité à rationaliser leur routine de défense cyber proactive. Le règle basée sur Sigma publiée par le Threat Bounty développeur Kyaw Pyiyt Htet détecte les traces de violations caractéristiques des attaques de l’opération DangerousSavanna :
La règle peut s’appliquer à 26 solutions SIEM, EDR et XDR prises en charge par la plateforme de SOC Prime. Pour garantir une visibilité accrue sur les menaces associées, la détection est alignée avec le cadre MITRE ATT&CK®. L’utilisation de règles Sigma basées sur le comportement étiquetées avec des techniques ATT&CK , sous-techniques, et outils, est une approche éprouvée pour améliorer la posture de sécurité. Accédez à une riche bibliothèque de contenu de détection soutenue par l’expertise exceptionnelle de plus de 600 chercheurs et chasseurs de menaces du Threat Bounty Program, qui contribuent activement leur propre contenu de détection à la Plateforme SOC Prime tout en recevant des récompenses récurrentes pour leur apport. Appuyez sur le bouton Explorer les Détections pour parcourir un dépôt hébergeant plus de 200 000 pièces de détection enrichies en contexte.
Analyse de DangerousSavanna
Check Point Research (CPR) a publié les résultats d’une enquête approfondie sur la campagne malveillante de longue durée compromettant des org du secteur financier situées dans plusieurs pays d’Afrique centrale et occidentale le 6 septembre 2022. Les analystes en sécurité ont détaillé les approches des adversaires, y compris l’utilisation de tactiques d’ingénierie sociale pour obtenir un accès illicite aux appareils et réseaux des victimes. Les acteurs de la menace ont utilisé des domaines qui les faisaient paraître légitimes, se faisant passer pour des entreprises financières pour attirer les victimes. Les adversaires ont bombardé leurs cibles avec des e-mails de phishing envoyés via les services Gmail et Hotmail avec des pièces jointes armées offertes en téléchargement. Ces pièces jointes étaient des documents de types divers, y compris des outils basés sur .NET déguisés en fichiers PDF. Les chercheurs rapportent que les acteurs de cette campagne sont particulièrement persistants, essayant différents vecteurs d’attaque pour pénétrer dans les systèmes des victimes. Au moment de la rédaction de cet article, il y a au moins trois entreprises affectées.
Les activités post-infection comprenaient la réalisation de la persistance, la collecte d’informations et le téléchargement de charges malveillantes supplémentaires.
Envie d’en savoir plus sur l’amélioration de vos contre-mesures de sécurité ? Rejoignez la Plateforme SOC Prime pour débloquer l’accès au plus grand bassin mondial de contenu de détection créé par des leaders de l’industrie et améliorer l’efficacité de votre écosystème de sécurité. SOC Prime, dont le siège social est à Boston, aux États-Unis, est soutenu par une équipe internationale d’experts chevronnés dédiés à permettre une cyberdéfense collaborative.
