11/01/22
Киберпреступная группировка FIN7 последние несколько месяцев отправляла вредоносные USB-устройства американским компаниям с целью заразить их компьютерные системы вымогательским ПО. Об этом сообщило издание The Record, в распоряжении которого оказалась копия предупреждения ФБР.
«С августа 2021 года ФБР получило сообщения о нескольких посылках, содержащих эти USB-устройства, которые были отправлены американским предприятиям в сфере транспорта, страхования и обороны. Посылки были отправлены через почтовую службу США и United Parcel Service», — говорится в уведомлении ФБР.
В общей сложности преступники отправляли два вида посылок. Одни были якобы отправлены от Министерства здравоохранения и социальных служб США и сопровождались письмами со ссылками на рекомендации на тему коронавирусной инфекции (COVID-19), приложенными к USB-накопителям. Другие посылки были замаскированы под бандероли от Amazon в декоративной подарочной коробке, содержащей поддельное благодарственное письмо, поддельную подарочную карту и USB-устройство. В обоих случаях пакеты содержали USB-устройства марки LilyGO.
Когда получатель подключал USB-накопитель к своему компьютеру, устройство выполняло атаку BadUSB. USB-накопитель регистрировал себя как клавиатуру и отправлял на ПК пользователя серию предварительно настроенных автоматических нажатий клавиш. Нажатия клавиш запускали PowerShell-команды, которые загружали и устанавливали различные виды вредоносных программ. Таким образом киберпреступники получали административный доступ, а затем перемещались на другие локальные системы.
Участники FIN7 затем использовали различные инструменты, в том числе Metasploit, Cobalt Strike, PowerShell-скрипты, Carbanak, GRIFFON, DICELOADER, TIRION, и запускали вымогательское ПО BlackMatter и REvil в скомпрометированной сети.
Напомним, ранее группировка уже организовывала подобные вредоносные кампании. В 2020 году FIN7 отправляла своим жертвам бандероли с подарочными сертификатами и мягкими игрушками. В бандеролях также содержались USB флэш-накопители, которые после подключения к компьютеру заражали систему бэкдором GRIFFON.
