Известната хакерска група FIN7 е забелязана да продава своя персонализиран инструмент „AvNeutralizer“, който се използва за избягване на откриване чрез унищожаване на софтуера за защита на крайни точки в корпоративните мрежи.

Смята се, че FIN7 е руска хакерска група, която е активна от 2013 г. насам, като първоначално се е фокусирала върху финансови измами чрез хакване на организации и кражба на дебитни и кредитни карти.

По-късно те се преместват в областта на рансъмуера и са свързани с платформите DarkSide и BlackMatter ransomware-as-a-operation. Същите лица вероятно са свързани и с операцията за рансъмуер BlackCat, която наскоро извърши „измама на излизане“, след като открадна откуп от UnitedHealth, предназначен за друга групировка..

FIN7 е колектив, известен със сложни фишинг и инженерни атаки за получаване на първоначален достъп до корпоративни мрежи, включително представяйки се за BestBuy за изпращане на злонамерени USB ключове и разработване на персонализиран зловреден софтуер и инструменти.

За да добавят към експлойтите, те създават фалшива компания за сигурност на име Bastion Secure, за да наемат пентестери и разработчици за атаки с рансъмуер, без кандидатите да знаят как се използва работата им.

Хакерите от FIN7 са проследени и под други имена, включително Sangria Tempest, Carbon Spider и Carbanak Group.

FIN7 продава инструменти на други хакери

В нов доклад на SentinelOne изследователите казват, че един от персонализираните инструменти, създадени от FIN7, е „AvNeutralizer“ (известен още като AuKill) – инструмент, използван за убиване на софтуер за сигурност, който за първи път е забелязан при атаките на операцията за откуп BlackBasta през 2022 г.

Тъй като по това време BlackBasta е единствената операция с рансъмуер, използваща инструмента, изследователите смятат, че има връзка между двете групи.

Историческата телеметрия на SentinelOne обаче показа, че инструментът е бил използван в атаки от пет други операции с рансъмуер, което показва широкото му  разпространение.

„От началото на 2023 г. нашите телеметрични данни разкриват многобройни прониквания, включващи различни версии на AvNeutralizer“, обяснява докладът на изследователя на SentinelOne Антонио Кокомаци.

„Около 10 от тях се приписват на управлявани от хора прониквания на рансъмуер, които разгръщат добре познати RaaS полезни товари, включително AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit.“

По-нататъшно проучване разкри, че хакерите, действащи под псевдонимите „goodsoft“, „lefroggy“, „killerAV“ и „Stupor“, са продавали „AV Killer“ на рускоезични хакерски форуми от 2022 г. насам на цени от 4000 до 15 000 USD.

В доклад на Sophos от 2023 г. подробно е описано как AvNeutralizer/AuKill злоупотребява с легитимния драйвер SysInternals Process Explorer, за да прекратява антивирусните процеси, работещи на дадено устройство.

Престъпниците твърдят, че този инструмент може да се използва за унищожаване на всеки антивирусен/EDR софтуер, включително Windows Defender и продукти на Sophos, SentinelOne, Panda, Elastic и Symantec.

Сега SentinelOne установи, че FIN7 са актуализирали AVNeutralizer, за да използват драйвера на Windows ProcLaunchMon.sys, за да закачат процеси, поради което те вече не функционират правилно.

„AvNeutralizer използва комбинация от драйвери и операции, за да създаде срив в някои специфични реализации на защитени процеси, което в крайна сметка води до състояние на отказ на услуга“, обяснява SentinelOne.

„Той използва драйвера на TTD монитора ProcLaunchMon.sys, наличен при инсталациите на системата по подразбиране в директорията за системни драйвери, в комбинация с актуализирани версии на драйвера на Process Explorer с версия 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), който е подсилен за злоупотреба с операции между процеси и понастоящем не е блокиран от списъка WDAC на Microsoft.“

SentinelOne откри допълнителни персонализирани инструменти и зловреден софтуер, използвани от FIN7, за които не е известно да са продадени на други групи:

Powertrash (задна врата за PowerShell), Diceloader (лека задна врата, свързана със  C2), Core Impact (набор от инструменти за тестване на проникването) и задна врата, базирана на SSH.

Изследователите предупреждават, че продължаващата еволюция и иновациите на FIN7 в областта на инструментите и техниките, както и продажбата на софтуера му, го превръщат в значителна заплаха за предприятията по целия свят.

„Непрекъснатите нововъведения на FIN7, особено в сложните му техники за заобикаляне на мерките за сигурност, демонстрират неговия технически опит“, заключава изследователят от SentinelOne Антонио Кокомаци.

„Използването от групата на множество псевдоними и сътрудничеството с други киберпрестъпни структури затруднява приписването на престъпленията и демонстрира напредналите ѝ оперативни стратегии.“