Rilevamento DangerousSavanna: Attacchi che Prendono di Mira Diverse Organizzazioni Finanziarie Rivelati
Indice:
Gli analisti di sicurezza hanno rivelato una campagna di spear-phishing durata due anni mirata a entità nel settore finanziario in paesi africani francofoni – Marocco, Togo, Costa d’Avorio, Camerun e Senegal. La campagna è denominata DangerousSavanna, e i suoi operatori si affidano pesantemente a tecniche di ingegneria sociale per l’accesso iniziale, impiegando successivamente malware personalizzati come AsyncRAT, PoshC2, e Metasploit.
Il modus operandi degli avversari implica che il guadagno finanziario sia la principale motivazione per questa serie di attacchi.
Rilevare DangerousSavanna
Le tattiche e le tecniche degli hacker criminali continuano a evolversi, sviluppando metodi sempre più sofisticati per intrappolare le organizzazioni in tutto il mondo. Il team di ingegneri di threat hunting di SOC Prime ha adottato una metodologia ‘follow-the-sun’ per garantire una consegna tempestiva di contenuti di rilevamento verificati, aiutando gli esperti di sicurezza a ottimizzare la loro routine proattiva di difesa informatica. Il seguente regola basata su Sigma rilasciata da SOC Prime Threat Bounty sviluppatore Kyaw Pyiyt Htet rileva le tracce di violazioni caratteristiche degli attacchi dell’operazione DangerousSavanna:
La regola può essere applicata attraverso 26 soluzioni SIEM, EDR, e XDR supportate dalla piattaforma di SOC Prime. Per garantire una migliore visibilità sulle minacce correlate, il rilevamento è allineato al framework MITRE ATT&CK®. Usare regole Sigma basate sul comportamento e etichettate con tecniche ATT&CK , sotto-tecniche e strumenti, è un approccio collaudato per migliorare la postura di sicurezza. Accedi a una ricca libreria di contenuti di rilevamento supportata dall’eccellente competenza di oltre 600 ricercatori e cacciatori di minacce del Threat Bounty Program, che contribuiscono attivamente con i loro contenuti di rilevamento alla piattaforma SOC Prime ricevendo ricompense ricorrenti per il loro contributo. Premi il Pulsante Esplora Rilevamenti per sfogliare un repository che ospita oltre 200.000 pezzi di rilevamenti arricchiti di contesto.
Pulsante Esplora Rilevamenti Â
Analisi DangerousSavanna
Check Point Research (CPR) ha pubblicato i risultati di un’indagine approfondita sulla duratura campagna dannosa che compromette le organizzazioni del settore finanziario situate in diversi paesi dell’Africa centrale e occidentale il 6 settembre 2022. Gli analisti di sicurezza hanno dettagliato gli approcci degli avversari, tra cui l’uso di tattiche di ingegneria sociale per ottenere l’accesso illecito ai dispositivi e alle reti delle vittime. Gli attori della minaccia hanno utilizzato domini che li aiutavano a sembrare legittimi, mascherandosi come aziende finanziarie per attrarre le vittime. Gli avversari hanno bombardato i loro obiettivi con email di phishing inviate tramite servizi Gmail e Hotmail contenenti allegati armati offerti per il download. Questi allegati erano documenti di vari tipi, inclusi strumenti basati su .NET camuffati da file PDF. I ricercatori riportano che gli attori della minaccia dietro questa campagna sono particolarmente persistenti, provando diversi vettori di attacco per penetrato nei sistemi delle vittime. Al momento della stesura di questo articolo, ci sono almeno tre aziende colpite.
Le attività post-infezione includevano il raggiungimento della persistenza, la raccolta di informazioni e la ricerca di ulteriori payload dannosi.
Desideroso di saperne di più su come migliorare le tue contromisure di sicurezza? Unisciti a la Piattaforma di SOC Prime per sbloccare l’accesso al più grande pool di contenuti di rilevamento creato dai leader del settore e aumentare l’efficienza nel tuo ecosistema di sicurezza. SOC Prime, con sede a Boston, USA, è alimentata da un team internazionale di esperti esperti dedicati a consentire una difesa informatica collaborativa.
Â
