Известната хакерска група FIN7 е забелязана да продава своя персонализиран инструмент „AvNeutralizer“, който се използва за избягване на откриване чрез унищожаване на софтуера за защита на крайни точки в корпоративните мрежи.
Смята се, че FIN7 е руска хакерска група, която е активна от 2013 г. насам, като първоначално се е фокусирала върху финансови измами чрез хакване на организации и кражба на дебитни и кредитни карти.
По-късно те се преместват в областта на рансъмуера и са свързани с платформите DarkSide и BlackMatter ransomware-as-a-operation. Същите лица вероятно са свързани и с операцията за рансъмуер BlackCat, която наскоро извърши „измама на излизане“, след като открадна откуп от UnitedHealth, предназначен за друга групировка..
FIN7 е колектив, известен със сложни фишинг и инженерни атаки за получаване на първоначален достъп до корпоративни мрежи, включително представяйки се за BestBuy за изпращане на злонамерени USB ключове и разработване на персонализиран зловреден софтуер и инструменти.
За да добавят към експлойтите, те създават фалшива компания за сигурност на име Bastion Secure, за да наемат пентестери и разработчици за атаки с рансъмуер, без кандидатите да знаят как се използва работата им.
Хакерите от FIN7 са проследени и под други имена, включително Sangria Tempest, Carbon Spider и Carbanak Group.
В нов доклад на SentinelOne изследователите казват, че един от персонализираните инструменти, създадени от FIN7, е „AvNeutralizer“ (известен още като AuKill) – инструмент, използван за убиване на софтуер за сигурност, който за първи път е забелязан при атаките на операцията за откуп BlackBasta през 2022 г.
Тъй като по това време BlackBasta е единствената операция с рансъмуер, използваща инструмента, изследователите смятат, че има връзка между двете групи.
Историческата телеметрия на SentinelOne обаче показа, че инструментът е бил използван в атаки от пет други операции с рансъмуер, което показва широкото му разпространение.
„От началото на 2023 г. нашите телеметрични данни разкриват многобройни прониквания, включващи различни версии на AvNeutralizer“, обяснява докладът на изследователя на SentinelOne Антонио Кокомаци.
„Около 10 от тях се приписват на управлявани от хора прониквания на рансъмуер, които разгръщат добре познати RaaS полезни товари, включително AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit.“
По-нататъшно проучване разкри, че хакерите, действащи под псевдонимите „goodsoft“, „lefroggy“, „killerAV“ и „Stupor“, са продавали „AV Killer“ на рускоезични хакерски форуми от 2022 г. насам на цени от 4000 до 15 000 USD.
В доклад на Sophos от 2023 г. подробно е описано как AvNeutralizer/AuKill злоупотребява с легитимния драйвер SysInternals Process Explorer, за да прекратява антивирусните процеси, работещи на дадено устройство.
Престъпниците твърдят, че този инструмент може да се използва за унищожаване на всеки антивирусен/EDR софтуер, включително Windows Defender и продукти на Sophos, SentinelOne, Panda, Elastic и Symantec.
Сега SentinelOne установи, че FIN7 са актуализирали AVNeutralizer, за да използват драйвера на Windows ProcLaunchMon.sys, за да закачат процеси, поради което те вече не функционират правилно.
„AvNeutralizer използва комбинация от драйвери и операции, за да създаде срив в някои специфични реализации на защитени процеси, което в крайна сметка води до състояние на отказ на услуга“, обяснява SentinelOne.
„Той използва драйвера на TTD монитора ProcLaunchMon.sys, наличен при инсталациите на системата по подразбиране в директорията за системни драйвери, в комбинация с актуализирани версии на драйвера на Process Explorer с версия 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), който е подсилен за злоупотреба с операции между процеси и понастоящем не е блокиран от списъка WDAC на Microsoft.“
SentinelOne откри допълнителни персонализирани инструменти и зловреден софтуер, използвани от FIN7, за които не е известно да са продадени на други групи:
Powertrash (задна врата за PowerShell), Diceloader (лека задна врата, свързана със C2), Core Impact (набор от инструменти за тестване на проникването) и задна врата, базирана на SSH.
Изследователите предупреждават, че продължаващата еволюция и иновациите на FIN7 в областта на инструментите и техниките, както и продажбата на софтуера му, го превръщат в значителна заплаха за предприятията по целия свят.
„Непрекъснатите нововъведения на FIN7, особено в сложните му техники за заобикаляне на мерките за сигурност, демонстрират неговия технически опит“, заключава изследователят от SentinelOne Антонио Кокомаци.
„Използването от групата на множество псевдоними и сътрудничеството с други киберпрестъпни структури затруднява приписването на престъпленията и демонстрира напредналите ѝ оперативни стратегии.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.