Eine Cybercrime-Gruppe namens Bluebottle wurde mit einer Reihe gezielter Angriffe auf den Finanzsektor in frankophonen Ländern in Afrika in Verbindung gebracht, die mindestens von Juli bis September 2022 stattfinden.
Die Gruppe macht ausgiebig Gebrauch von „living-off-the-land“, „dual use tools“ und „commodity malware“, ohne dass in dieser Kampagne eigene Malware eingesetzt wird“, so Symantec, ein Geschäftsbereich von Broadcom Software, in einem Bericht, der The Hacker News vorliegt.
Das Cybersicherheitsunternehmen erklärte, dass die Aktivitäten Überschneidungen mit einem von Group-IB unter dem Namen OPERA1ER beobachteten Bedrohungscluster aufweisen, das zwischen 2018 und 2022 Dutzende von Angriffen auf Banken, Finanzdienstleister und Telekommunikationsunternehmen in Afrika, Asien und Lateinamerika verübt hat.
Die Zuordnung ergibt sich aus Ähnlichkeiten im verwendeten Toolset, der Angriffsinfrastruktur, dem Fehlen von maßgeschneiderter Malware und der Ausrichtung auf französischsprachige Länder in Afrika. Drei verschiedene, nicht näher benannte Finanzinstitute in drei afrikanischen Ländern wurden angegriffen, wobei nicht bekannt ist, ob Bluebottle die Angriffe erfolgreich monetarisiert hat.
Der finanziell motivierte Gegner, der auch unter dem Namen DESKTOP-GROUP bekannt ist, ist für eine Reihe von Raubüberfällen verantwortlich, bei denen in den letzten vier Jahren insgesamt 11 Millionen Dollar erbeutet wurden, wobei sich der tatsächliche Schaden auf 30 Millionen Dollar beläuft.
Die jüngsten Angriffe zeigen, dass sich die Taktik der Gruppe weiterentwickelt hat. So wird in den frühen Phasen der Infektionskette eine handelsübliche Malware namens GuLoader eingesetzt und Kernel-Treiber werden als Waffe eingesetzt, um Sicherheitsvorkehrungen auszuschalten.
Symantec konnte den ursprünglichen Angriffsvektor nicht zurückverfolgen, entdeckte aber Dateien mit Job-Themen in den Netzwerken der Opfer, was darauf hindeutet, dass wahrscheinlich Phishing-Köder eingesetzt wurden, um die Opfer zum Öffnen bösartiger E-Mail-Anhänge zu verleiten.
Bei einem Mitte Mai 2022 entdeckten Angriff wurde außerdem ein Informationsdiebstahl-Schadprogramm in Form einer ZIP-Datei mit einer ausführbaren Bildschirmschonerdatei (.SCR) verbreitet. Im Juli 2022 wurde außerdem die Verwendung einer ISO-Datei beobachtet, die von vielen Bedrohungsakteuren als Mittel zur Verbreitung von Malware genutzt wird.
„Wenn die Bluebottle- und OPERA1ER-Akteure tatsächlich ein und derselbe sind, würde das bedeuten, dass sie ihre Infektionsmethoden zwischen Mai und Juli 2022 ausgetauscht haben“, so die Forscher.
Die Spear-Phishing-Anhänge führen zum Einsatz von GuLoader, der dann als Kanal dient, um weitere Nutzdaten wie Netwire, Quasar RAT und Cobalt Strike Beacon auf dem Rechner abzulegen. Seitliche Bewegungen werden durch Tools wie PsExec und SharpHound erleichtert.
Eine weitere von der Gruppe angewandte Technik ist die Verwendung eines signierten Hilfstreibers, um Sicherheitssoftware zu beenden. Diese Methode wurde bereits von mehreren Hackergruppen für ähnliche Zwecke ausgenutzt, wie Mandiant, SentinelOne und Sophos im letzten Monat feststellten.
Die Tatsache, dass derselbe Treiber (von Mandiant POORTRY genannt) von mehreren cyberkriminellen Gruppen genutzt wurde, bestätigt die Theorie, dass diese Bedrohungsakteure einen Code-Signierungsdienst nutzen, um ihre Malware an den Prüfmechanismen vorbeizuschleusen.
Da man vermutet, dass die Bedrohungsakteure französischsprachig sind, ist es wahrscheinlich, dass sich die Angriffe auf andere französischsprachige Länder weltweit ausweiten könnten, so das Unternehmen in seiner Warnung.
„Die Effektivität seiner Kampagnen bedeutet, dass Bluebottle diese Aktivitäten wahrscheinlich nicht stoppen wird“, so die Forscher. „Es scheint sich sehr auf frankophone Länder in Afrika zu konzentrieren, daher sollten Finanzinstitute in diesen Ländern in höchster Alarmbereitschaft bleiben.