Detecção de DangerousSavanna: Ataques a Várias Organizações Financeiras Revelados
Índice:
Analistas de segurança revelaram uma campanha de spear-phishing de dois anos direcionada a entidades do setor financeiro em países africanos de língua francesa – Marrocos, Togo, Costa do Marfim, Camarões e Senegal. A campanha é codinomeada DangerousSavanna, e seus operadores dependem fortemente de técnicas de engenharia social para o acesso inicial, empregando consequentemente malware personalizado como AsyncRAT, PoshC2, e Metasploit.
O modus operandi dos adversários implica que o ganho financeiro seja a principal motivação para esta série de ataques.
Detectar DangerousSavanna
As táticas e técnicas dos hackers criminosos continuam evoluindo, desenvolvendo métodos mais sofisticados para capturar organizações em todo o mundo. A equipe de engenheiros de threat hunting da SOC Prime adotou uma metodologia de acompanhamento contínuo para garantir a entrega oportuna de conteúdo de detecção verificado, ajudando especialistas em segurança a otimizar sua rotina de defesa cibernética proativa. O seguinte regra baseada em Sigma lançada pela Threat Bounty desenvolvedor Kyaw Pyiyt Htet detecta os traços de violações características dos ataques da operação DangerousSavanna:
A regra pode ser aplicada em 26 soluções SIEM, EDR e XDR suportadas pela plataforma da SOC Prime. Para garantir maior visibilidade das ameaças relacionadas, a detecção está alinhada com o quadro MITRE ATT&CK®. Usar regras Sigma baseadas em comportamento com tags de técnicas ATT&CK , sub-técnicas e ferramentas, é uma abordagem comprovada para melhorar a postura de segurança. Acesse uma rica biblioteca de conteúdo de detecção apoiada pela excelente expertise de mais de 600 pesquisadores do Programa Threat Bounty e caçadores de ameaças, que contribuem ativamente com seu próprio conteúdo de detecção para a Plataforma SOC Prime enquanto recebem recompensas recorrentes por suas contribuições. Pressione o Explorar Detecções botão para navegar por um repositório que hospeda mais de 200.000 peças de detecção enriquecidas por contexto.
Análise do DangerousSavanna
A Check Point Research (CPR) publicou os resultados de uma investigação aprofundada sobre a campanha maliciosa duradoura que comprometia organizações do setor financeiro localizadas em vários países da África Central e Ocidental em 6 de setembro de 2022. Os analistas de segurança detalharam as abordagens dos adversários, incluindo o uso de táticas de engenharia social para obter acesso ilícito aos dispositivos e redes das vítimas. Os atores da ameaça usaram domínios que os ajudavam a parecer legítimos, se mascarando como empresas financeiras para atrair vítimas. Os adversários bombardearam seus alvos com e-mails de phishing enviados através dos serviços Gmail e Hotmail com anexos armados oferecidos para download. Esses anexos eram documentos de vários tipos, incluindo ferramentas baseadas em .NET disfarçadas de arquivos PDF. Pesquisadores relatam que os atores da ameaça por trás desta campanha são particularmente persistentes, experimentando diferentes vetores de ataque para invadir os sistemas das vítimas. No momento de escrever este artigo, há pelo menos três empresas afetadas.
Atividades pós-infecção incluíram alcançar persistência, coletar informações e buscar cargas maliciosas adicionais.
Ansioso para aprender mais sobre como melhorar suas medidas de segurança? Junte-se à Plataforma da SOC Prime para desbloquear o acesso ao maior pool de conteúdo de detecção criado por líderes da indústria e impulsionar a eficiência em seu ecossistema de segurança. SOC Prime, com sede em Boston, EUA, é alimentada por uma equipe internacional de especialistas experientes dedicados a habilitar a defesa cibernética colaborativa.
