DangerousSavanna 탐지: 다양한 금융 기관을 노리는 공격 공개

보안 분석가들이 프랑스어권 아프리카 국가의 금융 부문 대상의 2년간의 스피어 피싱 캠페인을 밝혀냈습니다. 모로코, 토고, 코트디부아르, 카메룬, 세네갈이 그 대상이며, 이 캠페인은 DangerousSavanna로 명명되었습니다. 운영자들은 초기 접근을 위해 소셜 엔지니어링 기법에 크게 의존하고, 맞춤형 악성코드인 AsyncRAT, PoshC2, Metasploit.

등을 사용합니다. 적대자의 운영 방식은 이 공격 시리즈가 재정적 이득을 주요 동기로 하고 있음을 나타냅니다.

DangerousSavanna 탐지

범죄 해커의 전술과 기술은 전 세계 조직을 함정에 빠뜨리기 위해 계속 발전하고 있습니다. SOC Prime의 위협 사냥 엔지니어 팀은 검증된 탐지 콘텐츠의 신속한 제공을 보장하기 위해 따라잡기 방식의 방법론을 채택하여 보안 전문가들이 선제적 사이버 방어 루틴을 간소화할 수 있도록 돕고 있습니다. 다음 Sigma 기반 규칙 은 SOC Prime의 Threat Bounty 개발자 Kyaw Pyiyt Htet 에 의해 출시되었으며, DangerousSavanna 운영 공격의 특징적인 위반 흔적을 탐지합니다:

의심스러운 ‘DangerousSavanna’ 캠페인 예약 작업 실행 명령어(CmdLine) 탐지를 통한

이 규칙은 SOC Prime 플랫폼이 지원하는 26개의 SIEM, EDR, XDR 솔루션 전반에 적용될 수 있으며, 관련 위협에 대한 가시성을 높이기 위해 MITRE ATT&CK® 프레임워크와 일치합니다. ATT&CK 기법, 하위 기술 및 도구와 태그가 붙은 행동 기반 Sigma 규칙을 사용하는 것은 보안 태세를 개선하는 검증된 접근법입니다. 600명 이상의 Threat Bounty Program 연구원 및 위협 사냥꾼의 뛰어난 전문성을 기반으로 한 탐지 콘텐츠의 방대한 라이브러리에 액세스하여, 그들이 직접 SOC Prime 플랫폼에 기여한 탐지 콘텐츠를 반복적인 보상으로 받아가세요. ATT&CK techniques, sub-techniques, and tools, is a tried-and-true approach to improve security posture. Access a rich library of detection content backed by the superb expertise of 600+ Threat Bounty Program researchers and threat hunters, who actively contribute their own detection content to the SOC Prime Platform while receiving recurring rewards for their input. Press the Explore Detections 버튼을 눌러 200,000개 이상의 맥락이 풍부한 탐지 콘텐츠가 호스팅된 저장소를 둘러보세요.

Explore Detections  

DangerousSavanna 분석

Check Point Research (CPR) 는 2022년 9월 6일 여러 중앙 및 서아프리카 국가의 금융 부문에 위치한 조직을 위협한 장기적 악성 캠페인에 대한 심층 조사 결과를 발표했습니다. 보안 분석가들은 사회 공학 전술을 사용하여 피해자의 기기 및 네트워크에 불법적으로 접근한 적대자의 접근 방식을 상세히 설명했습니다. 위협 행위자는 피해자를 유인하기 위해 금융 회사로 가장한 도메인을 사용했습니다. 적대자는 무기화된 첨부파일을 Gmail 및 Hotmail 서비스를 통해 발송된 피싱 이메일로 피해 대상을 공격했습니다. 이 첨부파일은 PDF 파일로 위장한 .NET 기반 도구를 포함하는 다양한 유형의 문서였습니다. 연구원들은 이 캠페인 배후의 위협 행위자들이 특히 끈질기게, 피해자 시스템에 침투하기 위해 여러 공격 벡터를 시도한 것으로 보고합니다. 이 기사 작성 당시, 최소한 세 개의 회사가 영향을 받았습니다.

감염 후 활동에는 지속성 확보, 정보 수집, 추가 악성 페이로드 가져오기가 포함되었습니다.

보안 대응 조치를 강화하고 싶으신가요? SOC Prime 플랫폼 에 가입하여 업계 리더들이 만든 세계 최대 탐지 콘텐츠 풀에 접근하고 보안 생태계의 효율성을 높이세요. SOC Prime은 미국 보스턴에 본사를 두고 있으며, 협력적 사이버 방어를 가능하게 하고자 하는 숙련된 국제 전문가 팀에 의해 운영됩니다.