İki Yıl Süren DangerousSavanna Kampanyası Finansal Ve Bankacılık Kurumlarına Saldırdı

Geçtiğimiz iki yıl boyunca, "DangerousSavanna" adlı kalıcı bir kötü niyetli kampanya, büyük finansal kurumları ve sigorta şirketlerini hedef aldı.

Orta ve Batı Afrika'da, finansal kurumların %85'inden fazlası, birçok kez çeşitli zarar verici siber saldırıların kurbanı olmuştur.

Bu vakaların dörtte birinde ağ sistemlerine yapılan müdahalelerden kaynaklanan finansal sektör ve bankacılık sektörü için mümkün olan en kötü sonuçlar şunlardır:

• Bilgi sızıntıları
• Kimlik hırsızlıkları
• Para transferi dolandırıcılıkları
• Sahte çeklerle banka para çekme işlemleri

Hedeflenen Ülkeler

Aşağıda bu kampanyada hedeflenen tüm ülkeler listelenmiştir:

• Ivory Coast
• Morocco
• Cameroon
• Senegal
• Togo

Mızraklı kimlik avı saldırıları, yukarıda listelenen tüm ülkeleri hedef alır. Son aylarda Ivory Coast ülkesinde özellikle dikkat edildiği görülmektedir.

Teknik Analiz

Sosyal mühendislik saldırısı, verilere erişim sağlamak için bir teknik olarak finansal kurumların çalışanlarına gönderilen e-postalara kötü amaçlı eklerin gömüldüğü bir saldırıdır.

Sonuç olarak, aşağıdakiler gibi kullanıma hazır kötü amaçlı yazılımlar sonuç olarak dağıtılmıştır:

• Metasploit
• PoshC2
• DWservice
• AsyncRAT

Tehdit aktörleri, enfeksiyonun ilk aşamalarında hedeflenen şirketlerin çalışanlarını agresif bir şekilde takip ettikçe, saldırıya getirdikleri yaratıcılık seviyesi görülebilir.

Rapora göre, Enfeksiyon zinciri, kendi kendine yazılan yürütülebilir yükleyicilerin ve enfeksiyonu yaymak için kullanılan kötü amaçlı dosya türlerinin birleşimine bağlı olarak sıklıkla bir bulaşma zincirinden diğerine değişir. Aşağıda kullanılan dosya türlerinden bahsettik:

• ISO
• LNK
• JAR
• VBE

Gmail ve Hotmail hizmetlerinde Fransızca yazılmış bir dizi sahte e-posta gönderiliyor. Ayrıca, finansal kurumların güvenilirliğini artırmak için, bu mesajlar Afrika'daki diğer kurumları taklit ediyor.

İlk saldırı dalgaları, öncelikle .NET tabanlı araçlar ve bir dizi sistemi hedeflemek için kullanılır.

Bir sonraki aşamadaki droppers ve loaders PDF dosyaları olarak gizlenir ve uzak sunuculardan indirilmek üzere kimlik avı e-postalarında ek olarak gönderilirken.

Kurulduktan sonra ilk dayanak noktasını takiben bir dizi faaliyet gerçekleştirilebilir. Bunlar arasında:

• Kalıcılığı uzun bir süre boyunca korumak.
• Keşif faaliyetleri yürütülmektedir.
• Ek yüklerin teslimi (payloads).

Tehdit aktörünün tam olarak nereden geldiği hala belli değil. Buna karşılık, araç ve yöntemlerinde tekrarlanan değişiklikler, tehdit aktörlerinin karlarını en üst düzeye çıkarmak için açık kaynaklı yazılım ve stratejilerin anlaşıldığını göstermektedir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.