Хакеры создали Uber для взлома банков — только вместо поездок продают доступы

Группа хакеров почти год ведёт масштабную кампанию атак против финансового сектора Африки. Об этом предупредили специалисты подразделения Unit 42 компании Palo Alto Networks, которые отслеживают эту активность под обозначением CL-CRI-1014. Как пояснили в компании, аббревиатура расшифровывается как «кластер с криминальной мотивацией», что указывает на коммерческий интерес злоумышленников.

Главная цель атакующих — получить первичный доступ к инфраструктуре организаций и затем перепродать его другим преступным группировкам через подпольные форумы. Таким образом, группа действует как типичный брокер начального доступа, что особенно опасно для организаций с высокой концентрацией финансовых и персональных данных .

Для реализации своих атак хакеры используют проверенный арсенал, который трудно отличить от легального программного обеспечения. В их распоряжении — инструменты вроде PoshC2 для управления заражёнными системами, Chisel для туннелирования трафика и обхода сетевых ограничений, а также Classroom Spy для удалённого контроля за компьютерами жертв.

Отдельное внимание специалисты уделили тому, как злоумышленники скрывают своё присутствие. Они подделывают цифровые подписи файлов, копируя их с известных легитимных приложений. Это позволяет замаскировать вредоносные программы и затруднить их обнаружение. Кроме того, для маскировки используются иконки популярных продуктов, таких как Microsoft Teams, Palo Alto Cortex и Broadcom VMware Tools, что позволяет вредоносам визуально не отличаться от привычного софта.

После проникновения в сеть атакующие закрепляют своё присутствие с помощью трёх различных механизмов. Они создают системный сервис, размещают ярлык вредоносного инструмента в автозагрузке Windows и добавляют задание в планировщик под именем «Palo Alto Cortex Services». Такой подход обеспечивает устойчивость атаки даже после перезагрузки компьютеров.

В ряде случаев зафиксированы кражи учётных данных пользователей. С их помощью хакеры развёртывают прокси-серверы, которые позволяют скрывать связь заражённых машин с управляющим сервером. При этом некоторые версии PoshC2, по данным специалистов, были специально модифицированы для конкретных атакованных сетей.

Стоит отметить, что атаки с применением PoshC2 уже были зафиксированы в финансовом секторе Африки. В сентябре 2022 года компания Check Point подробно описала кампанию DangerousSavanna, в рамках которой через целевые фишинговые рассылки распространялись Metasploit, PoshC2, DWservice и AsyncRAT. Тогда жертвами стали банки и страховые компании в Кот-д’Ивуаре, Марокко, Камеруне, Сенегале и Того.

Такие инциденты наглядно показывают, насколько легко границы между легальным и криминальным в киберпространстве могут размываться, если речь идёт о тщательно спланированных атаках. Когда злоумышленники используют знакомые программы, копируют официальные подписи и маскируют вредоносный код под привычные иконки, традиционные методы защиты перестают работать.

Для организаций это означает одно: нельзя полагаться лишь на внешний вид или формальные атрибуты безопасности. Настоящая защита требует постоянного скепсиса, глубокой проверки и готовности к тому, что угроза может скрываться за самым обыденным интерфейсом. Особенно в критичных отраслях вроде финансов , где цена ошибки — это не только деньги, но и доверие.