Η εταιρεία ασφαλείας FireEye ανακάλυψε ότι η hacking ομάδα FIN7 χρησιμοποιεί ένα νέο εργαλείο, ένα malware loader, το οποίο μεταφέρει payloads απευθείας στη μνήμη του στοχευμένου μηχανήματος. Επιπλέον, διαθέτει μια νέα λειτουργία (RAT) που συνδέεται με το νόμιμο λογισμικό απομακρυσμένης διαχείρισης της εταιρείας NCR Corporation (κατασκευαστής ATM).
Οι ερευνητές ονόμασαν το νέο malware dropper που επηρεάζει τη μνήμη, BOOSTWRITE. Διαπίστωσαν ότι μπορεί να φορτώσει περισσότερα από ένα payload. Ένα από αυτά, είναι το Carbanak backdoor, που έχει συνδεθεί και στο παρελθόν με την ομάδα FIN7.
Οι hackers χρησιμοποιούν αρχικά το BOOSTWRITE και στη συνέχεια μολύνουν τα μηχανήματα με το νέο RAT, που ονομάζεται RDFSNIFFER.
Το BOOSTWRITE χρησιμοποιεί μια hijacking τεχνική για να φορτώσει δικά του κακόβουλα αρχεία DLL στη μνήμη του μολυσμένου συστήματος. Αυτά επιτρέπουν τη λήψη του initialization vector (IV) και του κλειδιού αποκρυπτογράφησης, που είναι απαραίτητα για την αποκρυπτογράφηση των ενσωματωμένων payloads.
“Μόλις γίνει λήψη του κλειδιού και του IV, το κακόβουλο λογισμικό αποκρυπτογραφεί τα ενσωματωμένα payloads και κάνει ελέγχους”, αναφέρουν οι ερευνητές. “Τα payloads αναμένεται να είναι PE32.DLLs τα οποία φορτώνονται στη μνήμη χωρίς να πειράζουν το σύστημα αρχείων”.
Οι ερευνητές ανέλυσαν το BOOSTWRITE και διαπίστωσαν ότι οι hackers χρησιμοποιούσαν το loader για την εγκατάσταση δύο payloads: του Carbanak backdoor και του RDFSNIFFER.
Επιπλέον, σε ένα από τα δείγματα BOOSTWRITE, που αναλύθηκαν, οι ερευνητές παρατήρησαν ότι χρησιμοποιούνταν ένα πιστοποιητικό υπογραφής κώδικα από την MANGO ENTERPRISE LIMITED.
«Εκμεταλλευόμενη τα πιστοποιητικά υπογραφής κώδικα, η ομάδα FIN7 αυξάνει τις πιθανότητες παράκαμψης διαφόρων ελέγχων ασφάλειας και τις πιθανότητες επιτυχούς επίθεσης στα θύματα”, δήλωσε η εταιρεία.
In-memory RATs
Η λειτουργία RDFSNIFFER μεταφέρεται ως payload στα στοχευμένα μηχανήματα. Όπως είπαμε και παραπάνω πρόκειται για ένα RAT. Επιτρέπει την απομακρυσμένη πρόσβαση στην εφαρμογή Aloha Command Center Client της εταιρείας κατασκευής ATM, NCR. Μέσω αυτής, οι hackers «μπορούν να αλληλεπιδράσουν με τα θύματα μέσω των υφιστάμενων νόμιμων συνεδριών 2FA”.
Κάθε φορά που εκτελείται το νόμιμο λογισμικό στα παραβιασμένα μηχανήματα, το RDFSNIFFER επηρεάζει τη διαδικασία του RDFClient της NCR Corporation.
Με αυτόν τον τρόπο, οι hackers είναι σε θέση να παρακολουθούν ή ακόμα και να τροποποιούν τις συνδέσεις που γίνονται μέσω του RDFClient, έχοντας στα χέρια τους ένα εργαλείο για την πραγματοποίηση μιας man-in-the-middle επίθεσης.
“Το RDFSNIFFER περιέχει επίσης ένα backdoor που επιτρέπει σε έναν εισβολέα να φορτώσει, να κατεβάσει, να εκτελέσει και / ή να διαγράψει αρχεία”.
Η hacking ομάδα FIN7 εξελίσσει συνεχώς τις μεθόδους της
Η ομάδα ανακαλύφθηκε από τους ερευνητές στα μέσα του 2015. Είναι, επίσης, γνωστή με τα ονόματα Carbanak και Cobalt. Βασικοί της στόχοι είναι οι τράπεζες και τα POS μηχανήματα, ενώ έχει επιτεθεί και σε διάφορες ευρωπαϊκές και αμερικανικές εταιρείες μέσω του backdoor Carbanak.
Πέρυσι, κάποια από τα μέλη της ομάδας FIN7 συνελήφθησαν. Ωστόσο, οι κακόβουλες δραστηριότητές της συνεχίζονται. Οι hackers χρησιμοποιούν ακόμα πιο εξελιγμένα εργαλεία, όπως αυτά που ανακάλυψαν τώρα οι ερευνητές της FireEye’s Mandiant.
Η Arbor Networks, μετά τη σύλληψη των μελών της ομάδας, εντόπισε μια phishing εκστρατεία σε τράπεζες της Ρωσίας και της Ρουμανίας, που προερχόταν από την ομάδα FIN7.
Τον Μάιο, ανακαλύφθηκαν και άλλες επιθέσεις, που σύμφωνα με τους ερευνητές, χρησιμοποιούσαν τις ίδιες τακτικές και τεχνικές με τους hackers της FIN7.
“Αυτές οι επιθέσεις έχουν εκμεταλλευτεί τα τυπικά και γνωστά εργαλεία της FIN7, όπως τα CARBANAK και BABYMETAL, ωστόσο, η εισαγωγή νέων εργαλείων και τεχνικών παρέχει περαιτέρω στοιχεία ότι η FIN7 συνεχίζει να εξελίσσεται ανταποκρινόμενη στις βελτιωμένες πρακτικές ασφαλείας”, λένε οι ερευνητές.
