AppsecZone

Хакеры из FIN7 активно совершенствуют свой арсенал вредоносов

Хакеры из FIN7 активно совершенствуют свой арсенал вредоносов Хакеры из FIN7 активно совершенствуют свой арсенал вредоносов Хакеры из FIN7 активно совершенствуют свой арсенал вредоносов
05.04.2022

Эксперты в области кибербезопасности составили подробный технический отчет об операциях FIN7 (также известной как Carbanak) с конца 2021 по начало 2022 года, показывающий, что злоумышленники продолжают вести активную деятельность, развиваются и пробуют новые методы монетизации, пишет SecurityLab.

Несмотря на то, что в 2018 году некоторым членам группировки были предъявлены обвинения, а в 2021 году был вынесен приговор одному из ее участников, FIN7 не исчезла и продолжала разрабатывать новые инструменты для скрытых атак.

Исследователи из Mandiant опубликовали новый список индикаторов компрометации FIN7, основанный на анализе новых образцов вредоносных программ, связанных с группировкой. Свидетельства, собранные в результате ряда кибератак, побудили аналитиков объединить восемь ранее подозреваемых группировок в FIN7, что указывает на широкий спектр операций данных преступников.

PowerShell-бэкдор под названием PowerPlant уже много лет связан с FIN7, однако хакеры продолжают разрабатывать его новые варианты. FIN7 настраивает функциональность и добавляет новые функции в PowerPlant, а также развертывает новую версию в середине операции. Во время установки PowerPlant получает разные модули с командного сервера. Два наиболее часто используемых модуля называются Easylook и Boatlaunch.

Easyloook — утилита разведки, которую FIN7 использует не менее двух лет для сбора сведений о сети и системе, таких как оборудование, имена пользователей, регистрационные ключи, версии операционной системы, данные домена и пр.

Boatlaunch — вспомогательный модуль, исправляющий PowerShell-процессы на скомпрометированных системах с помощью 5-байтовой последовательности инструкций, которая приводит к обходу AMSI. AMSI (интерфейс сканирования на вредоносные программы) — встроенный инструмент Microsoft, который помогает обнаруживать вредоносное выполнение PowerShell, поэтому Boatlaunch помогает предотвратить данный механизм защиты.

Еще одна новая разработка — обновленная версия загрузчика Birdwatch, который теперь имеет два варианта: Crowview и Fowlgaze. Оба варианта написаны на языке .NET, но, в отличие от Birdwatch, имеют возможность самоудаления, поставляются со встроенными полезными нагрузками и поддерживают дополнительные аргументы.

Еще одним интересным открытием является причастность FIN7 к различным группировкам вымогателей. В частности, аналитики обнаружили свидетельства взломов FIN7, обнаруженных непосредственно перед инцидентами с программами-вымогателями, такими как Maze, Ryuk, Darkside и BlackCat/ALPHV.


Комментарии 0


Назад