HackerNews 编译,转载请注明出处:
Palo Alto Networks 旗下的研究团队 Unit 42 发现了一个针对非洲多家金融机构的新型恶意活动。
这些被追踪为 CL-CRI-1014 的攻击者,至少自 2023 年以来一直活跃地针对非洲金融行业。Unit 42 研究人员评估认为,他们扮演着初始访问经纪人(IABs)的角色,即先获取目标的初始访问权限,然后在暗网上将其出售给其他攻击者。
为了实施攻击,黑客通常利用一系列开源工具,包括攻击框架 PoshC2、隧道工具 Chisel,以及公开可用的软件如微软的 PsExec 和远程管理工具 Classroom Spy。后者替代了该组织先前活动中使用的 MeshAgent。
他们还创建隧道进行网络通信并执行远程管理操作。
Unit 42 的研究结果已在其 6 月 24 日发布的报告中分享。
攻击链解析
以下是 Unit 42 研究人员观察到的 CL-CRI-1014 最新活动中典型的攻击链步骤:
- 攻击者使用 PsExec 远程连接到另一台机器,将其作为代理;在代理机器上使用 Chisel 绕过目标组织系统的防火墙保护,并连接到多台机器;在部分机器上,攻击者使用 PsExec 投递 PoshC2 并在系统内进行侦察活动,网络流量通过 Chisel 隧道传输;在其他机器上,攻击者使用 PsExec 运行 PowerShell 并安装 Classroom Spy。
攻击者在攻击流程中如何使用 PsExec、Chisel、PoshC2 和 Classroom Spy(如下图)。来源:Unit 42, Palo Alto Networks
PoshC2 是攻击者用来执行命令并在受感染环境中建立立足点的关键工具。该框架支持生成不同类型的植入程序(PowerShell、C#.NET 和 Python),并预装了多种攻击模块。
Classroom Spy 具备一系列功能,包括:
- 实时监控电脑屏幕(包括截图);控制鼠标和键盘;在机器间收集和部署文件;记录访问的网页;键盘记录;录音;访问摄像头;打开终端;收集系统信息;监控和阻止应用程序。
最后,CL-CRI-1014 采用了多种方法来规避检测,包括使用加壳器、用窃取的签名为其工具进行签名,以及使用来自合法产品的图标。
没有证据表明该活动利用了目标组织产品或服务中的任何漏洞。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
