Tehdit analistleri, 2021'in sonlarından 2022'nin başlarına kadar Fin7 operasyonları hakkında ayrıntılı bir teknik raporu derlediler, rakibinin çok aktif olmaya, gelişmeye ve yeni para kazanma yöntemlerini denemeye devam ettiğini gösteriyor.
Fin7 (A.K.A. Carbanak), becerikli ve çeşitli taktikler, ısmarlama kötü amaçlı yazılım ve gizli arka planlar için bilinen Rus konuşan, finansal olarak motive olmuş bir aktördür.
Her ne kadar grubun bazı üyeleri 2018'de de suçlanmış olsa da, 2021'de yöneticilerinden birinin cezalandırılmasıyla, Fin7 kaybolmadı ve gizli saldırılar için yeni araçlar geliştirmeye devam etti.
Roman kötü amaçlı yazılımların analizine dayanan zenginlik göstergelerinin zengin bir seti, Grup'un operasyonlarını gözlemlemeye ve izlemeye devam eden Mandiant'teki Araştırmacılar tarafından yayınlandı.
Bir dizi siber saldırıdan toplanan kanıtlar, analistlerin, daha önce şüpheli unc grubunu, belirli bir grup için geniş operasyonların geniş kapsamını gösteren Sekiz'den Sekiz Sekiz'i birleştirmelerini sağladı.
Yıllardır Fin7 ile ilişkili olan PowerPlant olarak bilinen PowerShell arka kapı hala yeni varyantlar halinde geliştiriliyor, çünkü mandiant 0.012'den 0,028 arasında değişen sürüm numaralarını tanımladı.
Bazı izinsiz girişlerde, Fin7, işlevselliği ayarlamak ve PowerPlant'a yeni özellikler ekleme ve çalışmanın ortasındaki yeni sürümü dağıtarak gözlendi.
Mandiant'a göre, PowerPlant, 2022 operasyonlarında yükleme ve Griffon'un yerini aldı, Carbanak ve DICeloader kötü amaçlı yazılımlar da arka koltukta yer aldı.
Dağıtım sırasında, PowerPlant, C2 sunucusundan farklı modülleri alır, bu nedenle ortaya çıkan özellikler değişir. En sık konuşulan modüllerden ikisi, Easylook ve Boatlaunch adlıdır.
Easyloook, Fin7'nin donanım, kullanıcı adları, kayıt tuşları, işletim sistemi sürümleri, etki alanı verileri, vb.
BoatLaunch, bir AMSI-bypass ile sonuçlanan 5 baytlık bir talimat dizisine sahip olan sistemler üzerindeki PowerShell işlemlerini yamalı bir yardımcı modülüdür.
AMSI (Antimalware Tarama Arayüzü), kötü niyetli PowerShell'in yürütülmesini algılamaya yardımcı olan yerleşik bir Microsoft aracıdır, bu nedenle BoatLaunch bunu önlemeye yardımcı olmak için orada. Mantive, hem 32 bit hem de 64 bit modül versiyonlarını gördü.
Başka bir yeni gelişme, şimdi Crowview ve Fowlgaze adında iki varyantına sahip olan Kuş Gözleme Downloader'ın evrimidir.
Her iki varyant da .NET tabanlıdır, ancak Kuş gözlemine aykırı, kendi kendine silme özelliklerine sahiptir, gömülü yükler ile birlikte gelir ve ek argümanları desteklemektedir.
Birdwatch gibi, bu yeni varyantlar, HTTP üzerinden yükleme yüklerini alır ve Fin7'yi sistemde hangi işlemlerin çalıştığını, ağ yapılandırmanın ne olduğunu ve hangi web tarayıcısının kullanıldığını söyleyen temel keşif işlemleri sunmaya devam ediyor.
Mandiant raporunda sunulan ilginç bir bulgu Fin7'nin çeşitli fidyeware çetelerine katılmasıdır.
Daha spesifik olarak, analistler, Labirent, Ryuk, Darkside ve BlackCat / Alphv gibi fidye yazılımları olan olayların hemen önünde tespit edilen Fin7 izinsiz girişlerinin kanıtı bulmuşlardır.
MANTIANT, "Saldırı verilerinden üretilen kanıtlara ek olarak, Fin7'nin en azından bazı karanlık operasyonlarda rol oynadığını," diyor mandiant.
"2021'de Fin7'de, Beacon ve Behçdrop örneklerini imzalamak için 2021'de Fin7'de kullanılan düşük bir küresel prevalans kodu imzalama sertifikası da, vahşi doğada geri kazanılan birden fazla atılmamış darkside örnekleri imzalamak için de kullanıldı."
Geçtiğimiz Ekim ayında, Bleeping Computer, Fin7'nin, Grup, ağ saldırısı uzmanlarını kiralamak için bir sahte penting firması kurmak için maruz kaldığında, fin7'nin Ransomware operasyonlarına ilgi duyduğunu bildirdi.
Fin7'nin fidyeware çetelerine ilk ağ erişimi sunsa veya iştirakler olarak çalıştırılması ve yukarıda belirtilen suşları kullanırken net değildir. Yine de, Ransomware operasyonlarında rakiplerin net katılımı var.
Sıçan kötü amaçlı yazılımını sağlamak için kullanılan kötü amaçlı Microsoft Excel eklentileri
Microsoft Defender Etiketleri Ransomware Faaliyet Olarak Ofis Güncellemeleri
Revil Ransomware Üyesi, Kaseya Saldırısı için yargılanmak için U.
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
2022 yıl siber suçu odaklanmalarını tüketicilere geri döndürür
Kaynak: Bleeping Computer