Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры из FIN7 активно расширяют свой арсенал вредоносов

06/04/22

Fin7Эксперты в области кибербезопасности составили подробный технический отчет об операциях FIN7 (также известной как Carbanak) с конца 2021 по начало 2022 года, показывающий, что злоумышленники продолжают вести активную деятельность, развиваются и пробуют новые методы монетизации.

Несмотря на то, что в 2018 году некоторым членам группировки были предъявлены обвинения, а в 2021 году был вынесен приговор одному из ее участников, FIN7 не исчезла и продолжала разрабатывать новые инструменты для скрытых атак.

Исследователи из Mandiant опубликовали новый список индикаторов компрометации FIN7, основанный на анализе новых образцов вредоносных программ, связанных с группировкой. Свидетельства, собранные в результате ряда кибератак, побудили аналитиков объединить восемь ранее подозреваемых группировок в FIN7, что указывает на широкий спектр операций данных преступников.

PowerShell-бэкдор под названием PowerPlant уже много лет связан с FIN7, однако хакеры продолжают разрабатывать его новые варианты. FIN7 настраивает функциональность и добавляет новые функции в PowerPlant, а также развертывает новую версию в середине операции. Во время установки PowerPlant получает разные модули с командного сервера. Два наиболее часто используемых модуля называются Easylook и Boatlaunch.

Easyloook — утилита разведки, которую FIN7 использует не менее двух лет для сбора сведений о сети и системе, таких как оборудование, имена пользователей, регистрационные ключи, версии операционной системы, данные домена и пр.

Boatlaunch — вспомогательный модуль, исправляющий PowerShell-процессы на скомпрометированных системах с помощью 5-байтовой последовательности инструкций, которая приводит к обходу AMSI. AMSI (интерфейс сканирования на вредоносные программы) — встроенный инструмент Microsoft, который помогает обнаруживать вредоносное выполнение PowerShell, поэтому Boatlaunch помогает предотвратить данный механизм защиты.

Еще одна новая разработка — обновленная версия загрузчика Birdwatch, который теперь имеет два варианта: Crowview и Fowlgaze. Оба варианта написаны на языке .NET, но, в отличие от Birdwatch, имеют возможность самоудаления, поставляются со встроенными полезными нагрузками и поддерживают дополнительные аргументы.

Еще одним интересным открытием является причастность FIN7 к различным группировкам вымогателей. В частности, аналитики обнаружили свидетельства взломов FIN7, обнаруженных непосредственно перед инцидентами с программами-вымогателями, такими как Maze, Ryuk, Darkside и BlackCat/ALPHV.

Темы:УгрозыFin7КиберугрозыMandiant
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...