Търсене
Close this search box.

Известната хакерска група FIN7 е забелязана да продава своя персонализиран инструмент „AvNeutralizer“, който се използва за избягване на откриване чрез унищожаване на софтуера за защита на крайни точки в корпоративните мрежи.

Смята се, че FIN7 е руска хакерска група, която е активна от 2013 г. насам, като първоначално се е фокусирала върху финансови измами чрез хакване на организации и кражба на дебитни и кредитни карти.

По-късно те се преместват в областта на рансъмуера и са свързани с платформите DarkSide и BlackMatter ransomware-as-a-operation. Същите лица вероятно са свързани и с операцията за рансъмуер BlackCat, която наскоро извърши „измама на излизане“, след като открадна откуп от UnitedHealth, предназначен за друга групировка..

FIN7 е колектив, известен със сложни фишинг и инженерни атаки за получаване на първоначален достъп до корпоративни мрежи, включително представяйки се за BestBuy за изпращане на злонамерени USB ключове и разработване на персонализиран зловреден софтуер и инструменти.

За да добавят към експлойтите, те създават фалшива компания за сигурност на име Bastion Secure, за да наемат пентестери и разработчици за атаки с рансъмуер, без кандидатите да знаят как се използва работата им.

Хакерите от FIN7 са проследени и под други имена, включително Sangria Tempest, Carbon Spider и Carbanak Group.

FIN7 продава инструменти на други хакери

В нов доклад на SentinelOne изследователите казват, че един от персонализираните инструменти, създадени от FIN7, е „AvNeutralizer“ (известен още като AuKill) – инструмент, използван за убиване на софтуер за сигурност, който за първи път е забелязан при атаките на операцията за откуп BlackBasta през 2022 г.

Тъй като по това време BlackBasta е единствената операция с рансъмуер, използваща инструмента, изследователите смятат, че има връзка между двете групи.

Историческата телеметрия на SentinelOne обаче показа, че инструментът е бил използван в атаки от пет други операции с рансъмуер, което показва широкото му  разпространение.

„От началото на 2023 г. нашите телеметрични данни разкриват многобройни прониквания, включващи различни версии на AvNeutralizer“, обяснява докладът на изследователя на SentinelOne Антонио Кокомаци.

„Около 10 от тях се приписват на управлявани от хора прониквания на рансъмуер, които разгръщат добре познати RaaS полезни товари, включително AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit.“

По-нататъшно проучване разкри, че хакерите, действащи под псевдонимите „goodsoft“, „lefroggy“, „killerAV“ и „Stupor“, са продавали „AV Killer“ на рускоезични хакерски форуми от 2022 г. насам на цени от 4000 до 15 000 USD.

В доклад на Sophos от 2023 г. подробно е описано как AvNeutralizer/AuKill злоупотребява с легитимния драйвер SysInternals Process Explorer, за да прекратява антивирусните процеси, работещи на дадено устройство.

Престъпниците твърдят, че този инструмент може да се използва за унищожаване на всеки антивирусен/EDR софтуер, включително Windows Defender и продукти на Sophos, SentinelOne, Panda, Elastic и Symantec.

Сега SentinelOne установи, че FIN7 са актуализирали AVNeutralizer, за да използват драйвера на Windows ProcLaunchMon.sys, за да закачат процеси, поради което те вече не функционират правилно.

„AvNeutralizer използва комбинация от драйвери и операции, за да създаде срив в някои специфични реализации на защитени процеси, което в крайна сметка води до състояние на отказ на услуга“, обяснява SentinelOne.

„Той използва драйвера на TTD монитора ProcLaunchMon.sys, наличен при инсталациите на системата по подразбиране в директорията за системни драйвери, в комбинация с актуализирани версии на драйвера на Process Explorer с версия 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), който е подсилен за злоупотреба с операции между процеси и понастоящем не е блокиран от списъка WDAC на Microsoft.“

SentinelOne откри допълнителни персонализирани инструменти и зловреден софтуер, използвани от FIN7, за които не е известно да са продадени на други групи:

Powertrash (задна врата за PowerShell), Diceloader (лека задна врата, свързана със  C2), Core Impact (набор от инструменти за тестване на проникването) и задна врата, базирана на SSH.

Изследователите предупреждават, че продължаващата еволюция и иновациите на FIN7 в областта на инструментите и техниките, както и продажбата на софтуера му, го превръщат в значителна заплаха за предприятията по целия свят.

„Непрекъснатите нововъведения на FIN7, особено в сложните му техники за заобикаляне на мерките за сигурност, демонстрират неговия технически опит“, заключава изследователят от SentinelOne Антонио Кокомаци.

„Използването от групата на множество псевдоними и сътрудничеството с други киберпрестъпни структури затруднява приписването на престъпленията и демонстрира напредналите ѝ оперативни стратегии.“

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!