06/04/22
Эксперты в области кибербезопасности составили подробный технический отчет об операциях FIN7 (также известной как Carbanak) с конца 2021 по начало 2022 года, показывающий, что злоумышленники продолжают вести активную деятельность, развиваются и пробуют новые методы монетизации.
Несмотря на то, что в 2018 году некоторым членам группировки были предъявлены обвинения, а в 2021 году был вынесен приговор одному из ее участников, FIN7 не исчезла и продолжала разрабатывать новые инструменты для скрытых атак.
Исследователи из Mandiant опубликовали новый список индикаторов компрометации FIN7, основанный на анализе новых образцов вредоносных программ, связанных с группировкой. Свидетельства, собранные в результате ряда кибератак, побудили аналитиков объединить восемь ранее подозреваемых группировок в FIN7, что указывает на широкий спектр операций данных преступников.
PowerShell-бэкдор под названием PowerPlant уже много лет связан с FIN7, однако хакеры продолжают разрабатывать его новые варианты. FIN7 настраивает функциональность и добавляет новые функции в PowerPlant, а также развертывает новую версию в середине операции. Во время установки PowerPlant получает разные модули с командного сервера. Два наиболее часто используемых модуля называются Easylook и Boatlaunch.
Easyloook — утилита разведки, которую FIN7 использует не менее двух лет для сбора сведений о сети и системе, таких как оборудование, имена пользователей, регистрационные ключи, версии операционной системы, данные домена и пр.
Boatlaunch — вспомогательный модуль, исправляющий PowerShell-процессы на скомпрометированных системах с помощью 5-байтовой последовательности инструкций, которая приводит к обходу AMSI. AMSI (интерфейс сканирования на вредоносные программы) — встроенный инструмент Microsoft, который помогает обнаруживать вредоносное выполнение PowerShell, поэтому Boatlaunch помогает предотвратить данный механизм защиты.
Еще одна новая разработка — обновленная версия загрузчика Birdwatch, который теперь имеет два варианта: Crowview и Fowlgaze. Оба варианта написаны на языке .NET, но, в отличие от Birdwatch, имеют возможность самоудаления, поставляются со встроенными полезными нагрузками и поддерживают дополнительные аргументы.
Еще одним интересным открытием является причастность FIN7 к различным группировкам вымогателей. В частности, аналитики обнаружили свидетельства взломов FIN7, обнаруженных непосредственно перед инцидентами с программами-вымогателями, такими как Maze, Ryuk, Darkside и BlackCat/ALPHV.
