Kyberzločinci zneužívají open-source nástroje k napadení finančních institucí po celé Africe

9 července, 2025

Kyberbezpečnostní experti upozorňují na sérii kybernetických útoků zaměřených na finanční organizace po celé Africe, které probíhají minimálně od července 2023. Útočníci využívají kombinaci open-source a veřejně dostupných nástrojů k udržení přístupu.

Palo Alto Networks Unit 42 sleduje tuto aktivitu pod označením CL-CRI-1014, kde „CL“ znamená „cluster“ a „CRI“ označuje „kriminální motivaci“. Předpokládá se, že cílem útoků je získat počáteční přístup a následně jej prodat dalším kriminálním aktérům na podzemních fórech, čímž se hrozba stává tzv. zprostředkovatelem počátečního přístupu (IAB).

„Útočník kopíruje podpisy z legitimních aplikací, aby vytvořil falešné podpisy souborů, čímž maskuje svůj nástrojový set a skrývá své škodlivé aktivity,“ uvedli experti Tom Fakterman a Guy Levi. „Hrozební aktéři často napodobují legitimní produkty pro škodlivé účely.“

Útoky se vyznačují nasazením nástrojů, jako je PoshC2 pro příkazy a řízení (C2), Chisel pro tunelování škodlivého síťového provozu a Classroom Spy pro vzdálenou správu.

Přesná metoda, kterou útočníci používají k prolomení cílových sítí, není jasná. Jakmile získají přístup, byly v řetězcích útoků nasazeny MeshCentral Agent a později Classroom Spy k ovládnutí strojů, následně byl nasazen Chisel k obcházení firewallů a PoshC2 k šíření na další Windows hostitele v kompromitované síti.

Aby se vyhnuli detekci, jsou škodlivé nástroje maskovány jako legitimní software, přičemž používají ikony Microsoft Teams, Palo Alto Networks Cortex a Broadcom VMware Tools. PoshC2 je na systémech udržován třemi různými metodami:

– Nastavení služby

– Uložení zástupce Windows (LNK) do složky Po spuštění

– Použití naplánovaného úkolu pod názvem „Palo Alto Cortex Services“

V některých incidentech, které kyberbezpečnostní společnost pozorovala, útočníci údajně ukradli uživatelské přihlašovací údaje a použili je k nastavení proxy pomocí PoshC2.

„PoshC2 může používat proxy ke komunikaci se serverem příkazů a řízení (C2) a zdá se, že útočník přizpůsobil některé implantáty PoshC2 specificky pro cílové prostředí,“ poznamenali experti.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS

Deutsche Telekom se zapojí do evropského satelitního projektu IRIS²

Deutsche Telekom oznámil svou podporu satelitní síti IRIS² Evropské unie, která má posílit suverénní kapacitu konektivity pro vlády, podniky a občany Evropy. Telekomunikační společnost se

Číst dále »

10 července, 2025

Oracle odhaluje cloudovou smlouvu v hodnotě 30 miliard dolarů ročně

Společnost Oracle podepsala smlouvu s cloudovým zákazníkem, který od fiskálního roku 2028 utratí více než 30 miliard dolarů ročně. Tato dohoda, odhalená v regulačním podání,

Číst dále »

10 července, 2025

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz

AVERIA.NEWS by AVERIA LTD. © 2024 – Osobní údaje – Cookies
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom