黑客利用开源工具入侵非洲多个金融机构
HackerNews 编译,转载请注明出处: Palo Alto Networks 旗下的研究团队 Unit 42 发现了一个针对非洲多家金融机构的新型恶意活动。 这些被追踪为 CL-CRI-1014 的攻击者,至少自 2023 年以来一直活跃地针对非洲金融行业。Unit 42 研究人员评估认为,他们扮演着初始访问经纪人(IABs)的角色,即先获取目标的初始访问权限,然后在暗网上将其出售给其他攻击者。 为了实施攻击,黑客通常利用一系列开源工具,包括攻击框架 PoshC2、隧道工具 Chisel,以及公开可用的软件如微软的 PsExec 和远程管理工具 Classroom Spy。后者替代了该组织先前活动中使用的 MeshAgent。 他们还创建隧道进行网络通信并执行远程管理操作。 Unit 42 的研究结果已在其 6 月 24 日发布的报告中分享。 攻击链解析 以下是 Unit 42 研究人员观察到的 CL-CRI-1014 最新活动中典型的攻击链步骤: 攻击者使用 PsExec 远程连接到另一台机器,将其作为代理; 在代理机器上使用 Chisel 绕过目标组织系统的防火墙保护,并连接到多台机器; 在部分机器上,攻击者使用 PsExec 投递 PoshC2 并在系统内进行侦察活动,网络流量通过 Chisel 隧道传输; 在其他机器上,攻击者使用 PsExec 运行 PowerShell 并安装 Classroom Spy。 攻击者在攻击流程中如何使用 PsExec、Chisel、PoshC2 和 Classroom Spy(如下图)。来源:Unit 42, Palo Alto Networks PoshC2 是攻击者用来执行命令并在受感染环境中建立立足点的关键工具。该框架支持生成不同类型的植入程序(PowerShell、C#.NET 和 Python),并预装了多种攻击模块。 Classroom Spy 具备一系列功能,包括: 实时监控电脑屏幕(包括截图); 控制鼠标和键盘; 在机器间收集和部署文件; 记录访问的网页; 键盘记录; 录音; 访问摄像头; 打开终端; 收集系统信息; 监控和阻止应用程序。 最后,CL-CRI-1014 采用了多种方法来规避检测,包括使用加壳器、用窃取的签名为其工具进行签名,以及使用来自合法产品的图标。 没有证据表明该活动利用了目标组织产品或服务中的任何漏洞。 消息来源: infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文