DangerousSavanna検出：様々な金融機関を狙う攻撃が明らかに

セキュリティアナリストは、フランス語圏アフリカ諸国の金融業界を対象とした2年間にわたるスピアフィッシングキャンペーンを明らかにしました – モロッコ、トーゴ、コートジボワール、カメルーン、セネガル。キャンペーン名はDangerousSavannaとされており、操作員は初期アクセスのためにソーシャルエンジニアリング技術を大いに利用し、その後カスタマイズされたマルウェアを利用しています。その一例として、 AsyncRAT, PoshC2、 Metasploit.

敵対者の行動手段は、今回の一連の攻撃の主な動機が金銭的利益であることを示しています。

DangerousSavannaを検出

犯罪ハッカーの戦術と技術は進化を続け、世界中の組織を罠にはめるためにますます洗練された方法を開発しています。SOC Primeの脅威ハンティングエンジニアチームは、追随型手法を採用しており、審査された検出コンテンツの即時提供を保証することで、セキュリティ専門家の積極的なサイバー防衛ルーチンを効率化しています。以下に示す Sigmaベースのルール はSOC Primeの Threat Bounty 開発者 Kyaw Pyiyt Htet によってリリースされました。このルールは、DangerousSavanna操作攻撃の特有の侵害痕跡を検出します：

関連するコマンドの検出 (CmdLine経由) による疑わしい’DangerousSavanna’キャンペーンのスケジュールされたタスク実行

このルールは、SOC Primeプラットフォームがサポートする26のSIEM、EDR、XDRソリューションに適用できます。関連する脅威への可視性を向上させるために、検出は MITRE ATT&CK®フレームワークと連携しています。行動ベースのSigmaルールを使用し、 ATT&CK 技術、サブ技術、ツールにタグを付けることは、セキュリティの姿勢を改善するための確かなアプローチです。600人以上のThreat Bounty Program研究者や脅威ハンターの卓越した専門知識に支えられた豊富な検出コンテンツライブラリにアクセスし、彼らは自らの検出コンテンツをSOC Primeプラットフォームに積極的に寄稿し、その寄与に対して継続的に報酬を得ています。「 Explore Detections 」ボタンを押して、200,000以上の文脈に富んだ検出ピースがホスティングされているリポジトリを閲覧してください。

Explore Detections  

DangerousSavanna分析

Check Point Research (CPR) は、いくつかの中部および西部アフリカ諸国の金融業界の組織を脅かす長期にわたる悪意あるキャンペーンの詳細な調査結果を2022年9月6日に公表しました。セキュリティアナリストは、攻撃者のアプローチを詳述し、ソーシャルエンジニアリング戦術を用いて被害者のデバイスやネットワークに不正アクセスを得ようとしていたことを取り上げました。脅威アクターは、金融会社になりすますために正当なドメインに見えるドメインを使用しました。攻撃者は、GmailやHotmailのサービスを介してフィッシングメールをターゲットに大量に送信し、ダウンロード用に武装された添付ファイルを提供しました。これらの添付ファイルは、NETベースのツールをPDFファイルに偽装したドキュメントを含む、さまざまなタイプのものでした。このキャンペーンの背後にいる脅威アクターが非常に執拗であること、被害者のシステムに侵入するために異なる攻撃ベクトルを試みていると報告しています。この記事を書いている時点で、少なくとも3社が影響を受けています。

感染後の活動には、永続性の実現、情報の収集、追加の悪意あるペイロードの取得が含まれていました。

セキュリティ対策を強化する方法をもっと知りたいですか？ SOC Primeプラットフォーム に参加して、業界のリーダーたちによって作成された世界最大の検出コンテンツのプールへのアクセスを解除し、セキュリティエコシステムの効率を向上させてください。 SOC Primeは、米国ボストンに本社を構えており、国際的な熟練した専門家チームによって運営され、協力的なサイバー防衛を可能にしています。