30/12/19
Киберпреступная группировка FIN7 вооружилась новым инструментом BIOLOAD, используемым для загрузки более актуальных версий бэкдора Carbanak. Вредонос обладает хорошей защитой от обнаружения и имеет сходство с BOOSTWRITE, другим загрузчиком в арсенале FIN7.
BIOLOAD использует технику бинарной установки, эксплуатирующую метод в Windows для поиска DLL-библиотек. Таким образом злоумышленник может повысить привилегии в системе или обеспечить персистентность.
Исследователи безопасности из компании Fortinet обнаружили вредоносную DLL-библиотеку в легитимном процессе FaceFodUninstaller.exe, реализованном в чистых установках ОС Windows, начиная с Windows 10 (1803). Злоумышленники размещают вредоносный файл WinBio.dll в папку «\System32\WinBioPlugIns», в которой находится легитимная DLL-библиотека «winbio».
Специалисты обнаружили сходство между BIOLOAD и BOOSTWRITE. Загрузчик BOOSTWRITE использует технику перехвата поиска DLL (DLL Search Order Hijacking) для загрузки собственных вредоносных DLL-библиотек в память зараженной системы, а затем загружает вектор инициализации и ключ, необходимый для дешифрования встроенных полезных нагрузок.
Исследователи также заметили некоторые различия. BIOLOAD не поддерживает множественные полезные нагрузки, а также использует энкодер XOR для расшифровки полезной нагрузки вместо шифра ChaCha. Соединение с удаленным сервером для получения ключа дешифрования также не происходит в случае с BIOLOAD, поскольку он настраивается для каждой системы жертвы и получает ключ дешифрования от ее имени.
Как предполагают эксперты, основываясь на датах компиляции вредоносного ПО и его поведении, данный загрузчик является предшественником BOOSTWRITE.
Обнаруженная вредоносная программа демонстрирует, что FIN7 активно разрабатывает инструменты для загрузки своих бэкдоров. В то время как BIOLOAD использовался для загрузки Carbanak на зараженный хост, более свежий загрузчик BOOSTWRITE использовался для загрузки инструмента удаленного доступа RDFSNIFFER для «взлома» клиентского приложения NCR Aloha Command Center и взаимодействия с системами-жертвами посредством двухфакторной аутентификации.
