Οι αναλυτές απειλών συνέταξαν μια λεπτομερή τεχνική έκθεση για τις λειτουργίες της ομάδας FIN7 από τα τέλη του 2021 έως τις αρχές του 2022, δείχνοντας ότι ο απειλητικός παράγοντας συνεχίζει να είναι πολύ ενεργός, να εξελίσσεται και να δοκιμάζει νέες μεθόδους δημιουργίας εσόδων.
Δείτε επίσης: Crypto exchange Thodex scammers: Η Τουρκία ζητά ποινές 40.000 ετών
Η ομάδα FIN7 (γνωστή και ως Carbanak) είναι μια ρωσόφωνη ομάδα με οικονομικά κίνητρα, γνωστή για το πολυμήχανο και ποικίλο σύνολο τακτικών, το εξατομικευμένο malware και τα backdoors της.
Αν και ορισμένα μέλη της ομάδας κατηγορήθηκαν το 2018, η ομάδα FIN7 δεν εξαφανίστηκε και συνέχισε να αναπτύσσει νέα εργαλεία για κρυφές επιθέσεις.
Ένα πλούσιο νέο σύνολο indicators of compromise FIN7 που βασίζεται στην ανάλυση νέων δειγμάτων malware δημοσιεύτηκε από ερευνητές της Mandiant, οι οποίοι συνεχίζουν να παρακολουθούν τις λειτουργίες της ομάδας.
Τα αποδεικτικά στοιχεία που συγκεντρώθηκαν από μια σειρά κυβερνο-εισβολών οδήγησαν τους αναλυτές να συγχωνεύσουν οκτώ ύποπτες ομάδες UNC στην FIN7, γεγονός που υποδεικνύει το ευρύ φάσμα των επιχειρήσεων για τη συγκεκριμένη ομάδα.
Δείτε επίσης: Amazon: Phishing email απειλεί με οριστικό κλείδωμα λογαριασμών
Εξέλιξη του συνόλου εργαλείων
Το backdoor PowerShell γνωστό ως PowerPlant, το οποίο έχει συσχετιστεί με την FIN7, εξακολουθεί να αναπτύσσεται σε νέες παραλλαγές, καθώς η Mandiant έχει εντοπίσει αριθμούς εκδόσεων που κυμαίνονται από 0,012 έως 0,028.
Σε ορισμένες εισβολές, η ομάδα FIN7 παρατηρήθηκε να τροποποιεί τη λειτουργικότητα και να προσθέτει νέες δυνατότητες στο PowerPlant και να αναπτύσσει τη νέα έκδοση στη μέση της λειτουργίας.
Σύμφωνα με τη Mandiant, το PowerPlant έχει αντικαταστήσει το Loadout και το Griffon στις λειτουργίες του 2022, ενώ τα malware Carbanak και Diceloader έχουν πάρει ένα λιγότερο σημαντικό ρόλο.
Κατά την ανάπτυξη, το PowerPlant ανακτά διαφορετικά modules από τον server C2, επομένως το σύνολο των δυνατοτήτων που προκύπτει ποικίλλει. Δύο από τα κοινά modules που αναπτύσσονται ονομάζονται Easylook και Boatlaunch.
Το Easyloook είναι ένα βοηθητικό πρόγραμμα αναγνώρισης που η FIN7 χρησιμοποιεί εδώ και τουλάχιστον δύο χρόνια για την καταγραφή λεπτομερειών πληροφοριών δικτύου και συστήματος όπως hardware, ονόματα χρήστη, κλειδιά εγγραφής, εκδόσεις λειτουργικού συστήματος, δεδομένα domain κ.λπ.
Το Boatlaunch είναι ένα βοηθητικό module που διορθώνει τις διεργασίες PowerShell στα παραβιασμένα συστήματα με μια ακολουθία εντολών 5 byte που οδηγεί σε παράκαμψη AMSI.
Το AMSI (antimalware scan interface είναι ένα ενσωματωμένο εργαλείο της Microsoft που βοηθά στον εντοπισμό κακόβουλης εκτέλεσης του PowerShell, επομένως το Boatlaunch είναι εκεί για να βοηθήσει στην αποφυγή αυτού. Η Mandiant εντόπισε τις εκδόσεις της μονάδας 32-bit και 64-bit.
Μια άλλη νέα εξέλιξη είναι η εξέλιξη του προγράμματος λήψης Birdwatch, το οποίο πλέον έχει δύο παραλλαγές, που ονομάζονται Crowview και Fowlgaze.
Και οι δύο παραλλαγές βασίζονται σε .NET, αλλά σε αντίθεση με το Birdwatch, διαθέτουν δυνατότητες αυτοδιαγραφής, συνοδεύονται από ενσωματωμένα payloads και υποστηρίζουν πρόσθετα επιχειρήματα.
Όπως το Birdwatch, αυτές οι νέες παραλλαγές υποστηρίζουν την ανάκτηση payload μέσω HTTP και συνεχίζουν να προσφέρουν βασικές λειτουργίες αναγνώρισης που λένε στην FIN7 ποιες διαδικασίες εκτελούνται στο σύστημα, ποια είναι η διαμόρφωση δικτύου και ποιο πρόγραμμα περιήγησης χρησιμοποιείται.
Νέα εγχειρήματα σε ransomware
Ένα ενδιαφέρον εύρημα που παρουσιάζεται στην έκθεση του Mandiant είναι η εμπλοκή της FIN7 με διάφορες συμμορίες ransomware.
Πιο συγκεκριμένα, οι αναλυτές βρήκαν στοιχεία για εισβολές FIN7 που εντοπίστηκαν ακριβώς πριν από περιστατικά με ransomware όπως το Maze, το Ryuk, το Darkside και το BlackCat/ALPHV.
Τον περασμένο Οκτώβριο, η Bleeping Computer ανέφερε σχετικά με το αυξανόμενο ενδιαφέρον του FIN7 για λειτουργίες ransomware, όταν η ομάδα εκτέθηκε για τη σύσταση μιας ψεύτικης επιχείρησης για να προσλάβει ειδικούς σε θέματα εισβολής στο δίκτυο.
Δείτε επίσης: Android malware: Νέο spyware έχει πρόσβαση σε πολλά δεδομένα
Το αν η ομάδα FIN7 προσφέρει αρχική πρόσβαση στο δίκτυο σε συμμορίες ransomware ή εάν λειτουργεί ως affiliates και χρησιμοποιεί τα προαναφερθέντα στελέχη δεν είναι σαφές. Ωστόσο, υπάρχει σαφής συμμετοχή του adversary σε λειτουργίες ransomware.
Πηγή πληροφοριών: bleepingcomputer.com
