Negli ultimi mesi, le istituzioni finanziarie africane sono diventate bersaglio di una sofisticata campagna di attacchi informatici condotta da cyber criminali che sfruttano strumenti open source e software pubblicamente disponibili. Le attività, monitorate dagli esperti di sicurezza come CL-CRI-1014, sono attive almeno da luglio 2023 e dimostrano un’elevata capacità di eludere i sistemi di difesa tradizionali.

L’obiettivo principale di questi attacchi pare essere l’ottenimento di un accesso iniziale alle reti delle vittime, accesso che viene poi rivenduto ad altri gruppi criminali nei forum underground, secondo la tipica strategia degli initial access broker. Una delle tecniche più ingegnose impiegate dai criminali consiste nel copiare le firme digitali di applicazioni legittime per contraffare i file malevoli, mascherando così la reale natura delle loro attività e aggirando i controlli di sicurezza.

Strumenti e tecniche utilizzate

Gli strumenti usati includono PoshC2 per il controllo remoto dei sistemi compromessi, Chisel per il tunneling del traffico malevolo e Classroom Spy per l’amministrazione da remoto. Dopo aver ottenuto un punto d’appoggio iniziale, spesso tramite agenti MeshCentral e successivamente Classroom Spy, i criminali distribuiscono Chisel per superare i firewall e propagano PoshC2 verso altri host Windows all’interno della rete.

Per nascondersi meglio, i payload vengono camuffati come software affidabili, utilizzando icone di programmi noti come Microsoft Teams, Palo Alto Cortex e VMware Tools. La persistenza di PoshC2 sui sistemi delle vittime avviene attraverso la creazione di servizi dedicati, scorciatoie in cartelle di avvio e task pianificati con nomi ingannevoli.

In diversi casi, i criminali hanno anche rubato credenziali per configurare proxy interni, facilitando così le comunicazioni tra le macchine compromesse e i server di comando e controllo. Non è la prima volta che PoshC2 viene utilizzato contro il settore finanziario africano: già nel 2022 era stato documentato in campagne di spear phishing mirate a banche e assicurazioni in vari paesi dell’Africa Occidentale.

Nuove minacce ransomware

Parallelamente, si segnala la comparsa di nuovi gruppi ransomware come Dire Wolf, che negli ultimi mesi ha colpito organizzazioni di diversi settori, tra cui finanza e tecnologia, a livello globale. Il ransomware Dire Wolf, scritto in Golang, è progettato per bloccare i sistemi, cancellare copie shadow e impedire il recupero dei dati, mostrando come la minaccia ransomware continui ad evolversi.

Misure di difesa

Per difendersi da questi attacchi, le aziende devono adottare strategie di sicurezza avanzate, monitorare costantemente i segnali di compromissione e formare il personale sulle più recenti tecniche di attacco basate su strumenti open source.