网络攻击浪潮席卷西非银行

网络犯罪分子将西非几个国家的银行和其他金融机构作为攻击目标，再次成为犯罪时代。

据赛门铁克称，攻击至少从2017年中开始就一直在进行。迄今为止，喀麦隆，刚果（金），加纳，赤道几内亚和象牙海岸的组织受到影响。（下面是一个信息图。）

攻击者使用了多种商品恶意软件和陆上工具（LotL）。后者是指使用操作系统功能或网络管理工具来破坏受害者的网络。

谁是这些攻击的幕后黑手？赛门铁克表示，这可能是一个小组的工作，或者更可能是采用类似策略的几个不同小组的工作。

该公司已经观察到四个不同的攻击活动。

至少自2017年年中以来，第一次活动已经开始，针对的是象牙海岸和赤道几内亚的组织。攻击者使用称为NanoCore（Trojan.Nancrat）的商品恶意软件感染了受害者，并且还使用PsExec（一种用于在其他计算机上执行其他系统上的进程的Microsoft Sysinternals工具）进行了观察。

攻击者使用的诱饵文件提到了一家西非银行，该银行在该地区几个国家都有业务。这些攻击中使用的某些工具与2017 Swift警报中提到的工具相似，表明攻击者可能一直在试图进行财务欺诈。

第二种类型于2017年底开始，针对象牙海岸，加纳，刚果（金）和喀麦隆的组织。攻击者使用恶意的PowerShell脚本感染目标，并使用凭据窃取工具Mimikatz（Hacktool.Mimikatz）。他们还利用了UltraVNC（一种用于Microsoft Windows的开源远程管理工具）。

攻击者随后用称为Cobalt Strike（Trojan.Agentemis）的商品恶意软件感染了计算机，该恶意软件能够在计算机上打开后门，与命令与控制（C＆C）服务器进行通信并下载其他有效负载。

第三个针对的是象牙海岸的一个组织。第二个运动也把它作为目标。在这种情况下，远程操纵器系统RAT（Backdoor.Gussdoor）以及Mimikatz和两个自定义的远程桌面协议（RDP）工具。由于Mimikatz可用于收集凭据，而RDP允许与计算机的远程连接，因此攻击者可能需要更多的远程访问功能，并且有兴趣在受害者的网络上横向移动。

第四次攻击始于2018年12月，针对象牙海岸的组织。攻击者使用了称为Imminent Monitor RAT（Infostealer.Hawket）的现成恶意软件。

如您所料-并且由于Symantec在谈论它-这四种攻击类型都是首先通过其Targeted Attack Analytics（TAA）生成的警报发现的。

TAA使用人工智能（AI）分析赛门铁克的遥测数据湖，以发现与目标攻击相关的模式。

到目前为止，Symantec（赛门铁克）尚未见到针对西非金融部门的这类攻击的证据。但是，现在看来，至少有一个（甚至可能有更多个）组织积极瞄准该地区的银行。