非洲金融机构频遭黑客攻击，开源工具助力复杂攻击链

安全研究机构Palo Alto Networks旗下Unit 42近期披露，一支名为CL-CRI-1014的网络犯罪组织自2023年7月以来，持续针对非洲多国金融机构发起攻击，利用多种开源及公开可用工具，保持对目标网络的长期访问权限。

该组织以“初始访问经纪人”（Initial Access Broker，IAB）身份活跃，主要目标是突破目标网络防御，获取初始访问权后，再将访问权限转售给其他犯罪集团或黑客。研究人员指出，攻击者通过伪造合法软件签名，混淆视听，掩盖其恶意工具和操作轨迹，增加侦测难度。

攻击中主要采用的工具包括PoshC2（一个开源的命令与控制框架）、Chisel（一款网络隧道工具）以及Classroom Spy（远程管理软件）。攻击流程通常从网络渗透开始，随后部署MeshCentral Agent和Classroom Spy实现对受害设备的远程控制，再利用Chisel绕过防火墙，最终广泛传播PoshC2，扩大攻击范围。

为了保证恶意软件的持久存在，攻击者使用多种手段，如创建系统服务、将快捷方式文件放入启动文件夹，或设置定时任务，伪装成微软Teams、Palo Alto Cortex、Broadcom VMware Tools等知名软件，以此逃避安全防护和检测。

此次攻击不仅针对政府机构，还影响到银行、保险、制造业等多个行业，波及国家包括象牙海岸、摩洛哥、喀麦隆、塞内加尔和多哥等非洲国家。

该报告还提醒，类似工具和手法此前已在2022年9月的“DangerousSavanna”网络钓鱼活动中被利用，显示攻击者不断升级攻击手段，扩大影响范围。

面对复杂多变的攻击形势，相关机构应加强对异常登录、网络流量和进程行为的监控，及时更新安全策略，防止被利用公开开源工具进行持续渗透和横向扩散。同时，加强员工安全培训，防范钓鱼和社会工程攻击，提升整体安全防御能力。