黑客们一再攻击非洲法语国家的金融服务

在过去两年中，位于非洲法语国家的主要金融和保险公司一直是一场代号为危险的热带草原.

以色列网络安全公司Check Point在周二的一份报告中称，目标国家包括科特迪瓦、摩洛哥、喀麦隆、塞内加尔和多哥，近几个月来，矛头网络钓鱼攻击主要集中在科特迪瓦。

感染链需要将包含恶意附件的社会工程消息作为初始访问手段，以金融机构员工为目标，最终导致部署现成的恶意软件，如Metasploit、PoshC2、DWservice和AsyncRAT。

该公司表示：“在最初的感染阶段，威胁行为人的创造力表现出来，因为他们坚持不懈地追求目标公司的员工，不断改变感染链，利用各种恶意文件类型，从自编可执行加载程序和恶意文档，到各种组合的ISO、LNK、JAR和VBE文件”。

这些网络钓鱼邮件是用法语写的，使用Gmail和Hotmail服务发送的，尽管这些邮件也模仿了非洲的其他金融机构，以提高其可信度。

虽然2021的攻击利用了带有宏的Microsoft Word文档作为诱饵，但该公司今年早些时候决定默认阻止从互联网下载的文件中的宏，这导致危险的Savanna参与者转而使用PDF和ISO文件。

此外，从2020年底到2021年初的第一波攻击涉及使用定制的基于.NET的工具，这些工具伪装成附加在钓鱼电子邮件上的PDF文件，从远程服务器检索下一阶段的投递器和加载器。

无论使用何种方法，在获得初始立足点后进行的攻击后活动包括建立持久性、执行侦察和交付额外的有效载荷以远程控制主机、杀死反恶意软件进程和记录击键。

威胁行为体的确切来源尚不清楚，但其工具和方法的频繁变化表明他们对开源软件的了解，以及他们调整策略以最大化财务收益的能力。

“如果一条感染链不起作用，他们就改变了附件和诱饵，试图一次又一次地瞄准同一家公司，试图找到一个切入点，”CheckPoint说。“通过矛式网络钓鱼进行社交工程，只需一个不知情的用户轻率点击一下即可”。