02/04/25
Речь идёт не о широко известном Android-трояне, поясняет Securitylab, а о новом вредоносном ПО на языке Python, предназначенном для удалённого управления заражёнными системами Windows.
Как отмечают исследователи из швейцарской компании PRODAFT, данное ПО предоставляет злоумышленникам доступ к командной строке и ключевым системным операциям, фактически полностью подчиняя компьютер атакующего.
Распространение Anubis осуществляется через вредоносные рассылки, в которых используются скомпрометированные SharePoint-сайты. Жертве предлагается скачать ZIP-архив, содержащий скрипт на Python. При запуске скрипт расшифровывает и сразу исполняет основной обфусцированный вредоносный модуль в оперативной памяти. Такой подход позволяет избежать записи исполняемых компонентов на диск и тем самым снижает вероятность обнаружения.
После активации Anubis устанавливает соединение с удалённым сервером через TCP-сокет, обмениваясь данными в формате Base64. Ответы сервера также закодированы, что затрудняет их перехват. Бэкдор может определять IP-адрес устройства, загружать и скачивать файлы, менять рабочий каталог, получать переменные окружения, модифицировать системный реестр, загружать DLL-библиотеки напрямую в память и, при необходимости, завершать собственную работу.
Дополнительный анализ , проведённый немецкой компанией GDATA, показал, что Anubis умеет исполнять произвольные команды, полученные от оператора. Это открывает возможность запуска кейлоггеров, создания снимков экрана и кражи паролей — причём сами инструменты для этих операций не хранятся на устройстве, а выполняются в реальном времени. Такой подход позволяет сохранить модульность, но снизить риски разоблачения.
За последние годы FIN7 значительно трансформировалась, превратившись из традиционной кибергруппировки в гибкую структуру, взаимодействующую с операторами программ-вымогателей. Одним из примеров эволюции стала реклама инструмента AuKill летом 2024 года — утилиты, способной отключать антивирусные решения и средства защиты, что позволяет готовить почву для других атакующих компонентов.
Нынешняя кампания с использованием Anubis подтверждает стремление FIN7 развивать собственный арсенал за счёт непрерывного технического усложнения. Особо опасным является выбор вектора атаки — официальные платформы вроде SharePoint, которые вызывают меньше подозрений у пользователей. Использование легитимных сервисов для доставки вредоносного кода становится всё более распространённой тактикой в современных киберпреступлениях.
