Cyberkriminelle nutzen Open-Source-Tools zur Bedrohung afrikanischer Finanzinstitute

LONDON (IT BOLTWISE) – In einer alarmierenden Entwicklung haben Cyberkriminelle begonnen, Open-Source-Tools zu nutzen, um Finanzinstitute in Afrika zu kompromittieren. Diese Angriffe, die seit Juli 2023 beobachtet werden, zeigen eine zunehmende Raffinesse und Anpassungsfähigkeit der Bedrohungsakteure.

Cyberkriminelle haben eine neue Angriffswelle gegen Finanzinstitute in Afrika gestartet, indem sie Open-Source-Tools verwenden, um Zugang zu sensiblen Netzwerken zu erhalten. Diese Angriffe, die von Palo Alto Networks Unit 42 unter dem Namen CL-CRI-1014 verfolgt werden, zielen darauf ab, den ersten Zugang zu erlangen und diesen dann an andere kriminelle Akteure zu verkaufen. Dies macht die Angreifer zu sogenannten Initial Access Brokern (IAB), die in der Untergrundszene zunehmend an Bedeutung gewinnen.

Die Angreifer verwenden eine Vielzahl von Tools, darunter PoshC2 für die Kommando- und Kontrollkommunikation, Chisel für das Tunneln von Netzwerkverkehr und Classroom Spy für die Fernadministration. Diese Werkzeuge werden geschickt getarnt, indem sie mit Signaturen legitimer Anwendungen versehen werden, um ihre bösartigen Aktivitäten zu verschleiern. Dies zeigt, wie Bedrohungsakteure legitime Produkte für ihre Zwecke missbrauchen können.

Einmal im Netzwerk, setzen die Angreifer den MeshCentral Agent und Classroom Spy ein, um die Kontrolle über die Maschinen zu übernehmen. Chisel wird verwendet, um Firewalls zu umgehen, während PoshC2 auf andere Windows-Hosts im kompromittierten Netzwerk verbreitet wird. Um die Erkennung zu umgehen, werden die Schadprogramme als legitime Software getarnt, indem sie die Icons von Microsoft Teams, Palo Alto Networks Cortex und Broadcom VMware Tools verwenden.

PoshC2 wird auf den Systemen durch verschiedene Methoden persistiert, darunter das Einrichten eines Dienstes, das Speichern einer Windows-Verknüpfungsdatei im Autostart-Ordner und die Verwendung einer geplanten Aufgabe unter dem Namen “Palo Alto Cortex Services”. In einigen Fällen haben die Angreifer auch Benutzeranmeldedaten gestohlen und einen Proxy mit PoshC2 eingerichtet, um die Kommunikation mit einem Kommando- und Kontrollserver zu ermöglichen.

Diese Angriffe sind nicht neu. Bereits im September 2022 berichtete Check Point über eine Spear-Phishing-Kampagne namens DangerousSavanna, die ähnliche Tools einsetzte, um Finanz- und Versicherungsunternehmen in verschiedenen afrikanischen Ländern zu attackieren. Dies zeigt, dass PoshC2 ein beliebtes Werkzeug für Angriffe auf den Finanzsektor in Afrika bleibt.

Gleichzeitig hat Trustwave SpiderLabs eine neue Ransomware-Gruppe namens Dire Wolf identifiziert, die weltweit aktiv ist und bereits 16 Opfer in verschiedenen Ländern gefordert hat. Diese Gruppe zielt vor allem auf die Technologie-, Fertigungs- und Finanzdienstleistungssektoren ab und zeigt, wie vielfältig die Bedrohungslandschaft geworden ist.

Unternehmen sollten daher verstärkt auf Sicherheitspraktiken achten und ihre Netzwerke kontinuierlich überwachen, um solche Bedrohungen frühzeitig zu erkennen und abzuwehren. Die Nutzung von Open-Source-Tools durch Cyberkriminelle stellt eine ernsthafte Herausforderung dar, die eine proaktive Sicherheitsstrategie erfordert.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!