APT41 Afrikában
A Kaspersky MDR csapata egy afrikai kormányzati informatikai rendszereket célzó APT41 támadásra bukkant. A csoport aktívan használta a célpont belső struktúráját, például szolgáltatásneveket, IP-címeket és proxyszervereket kódolt be a támadó malware-be, hogy a célzott infrastruktúrát vegye célba. A támadás elsőként Impacket WmiExec és Atexec eszközökkel indult, amelyeket a kompromittált hoston szolgáltatásfiókkal futtattak, majd ezután adatgyűjtés és C2 elérés következett.
A támadók regisztrációs kulcsokat mentettek a rendszerből, és privilegizált fiókokat használtak laterális mozgáshoz. A beltérben Cobalt Strike kapott szerepet, amely DLL sideloadinggal, Proxy-hasonló technikákkal és HTA alapú reverse shell-lel tette lehetővé a tartós hozzáférést. A C2 kommunikációhoz egy kompromittált SharePoint szervert vetettek be – captive szerverként szolgálva.
Az adatgyűjtés során a támadó csoport olyan eszközöket alkalmazott, mint a Pillager keylogger, Checkout stealer, RawCopy regisztrációs adatmásoló és Mimikatz. Ezekkel széleskörű érzékeny adatokat voltak képesek begyűjteni és ellopni. Külön érdekesség, hogy a malware csak akkor futott, ha nem voltak japán, kínai vagy koreai nyelvi csomagok telepítve a rendszeren – valószínűleg a regionális célzást szolgálta.
Ez a kampány azért különleges, mert korábban az APT41 csak elvétve volt jelen Afrikában – most azonban egy kormányközeli IT szolgáltató rendszereit vette célba, új területen kezdte meg kiberkém tevékenységét. A támadás módszerei jól mutatják a modern APT műveleti gyakorlat hatékonyságát.
