Хакерская русскоязычная группировка FIN7 обновляет набор инструментов для атаки и сотрудничает с другими бандами в разработке программ-вымогателей.
Аналитики в сфере кибербезопасности, анализируя угрозы, составили подробный технический отчет об операциях FIN7 с конца 2021 по начало 2022 года, который показывает, что злоумышленники по-прежнему очень активны, постоянно развиваются и пробуют новые методы монетизации.
FIN7 (также известная как Carbanak) - это русскоязычная финансово мотивированная группировка, известная своей изобретательной и разнообразной тактикой, созданным на заказ вредоносным ПО и незаметными бэкдорами.
Не смотря на то, что некоторым членам группы были предъявлены обвинения в 2018 году, а в 2021 году был вынесен приговор одному из ее руководителей, FIN7 не исчезла и продолжает разрабатывать новые инструменты для скрытных атак.
Новый богатый набор индикаторов компрометации FIN7, основанный на анализе новых образцов вредоносного ПО, был опубликован исследователями из Mandiant, которые продолжают наблюдать и отслеживать операции группы.
Доказательства, собранные в результате целого ряда кибервторжений, позволили аналитикам объединить восемь ранее предполагаемых групп UNC в FIN7, что свидетельствует о широком масштабе операций данной группы.
Эволюция инструментария
Бэкдор PowerShell, известный как PowerPlant, который уже много лет аналитики связывают с хакерами FIN7, по-прежнему разрабатывается в новых вариантах. Исследователи из Mandiant обнаружили номера версий от 0.012 до 0.028.
В некоторых случаях вторжения FIN7 наблюдалось изменение функциональности и добавление новых возможностей в PowerPlant, а также развертывание новой версии в середине операции.
По данным Mandiant, PowerPlant заменил Loadout и Griffon в 2022 году, а вредоносные программы Carbanak и Diceloader также отошли на второй план.
Во время развертывания PowerPlant получает различные модули с сервера C2, поэтому результирующий набор возможностей варьируется. Два наиболее часто развертываемых модуля называются Easylook и Boatlaunch.
Easyloook - это разведывательная утилита, которую FIN7 использовала в течение как минимум двух лет для сбора данных о сети и системе, таких как аппаратное обеспечение, имена пользователей, регистрационные ключи, версии операционных систем, данные о доменах и т.д.
Boatlaunch - вспомогательный модуль, который исправляет процессы PowerShell на взломанных системах с помощью 5-байтовой последовательности инструкций, что приводит к обходу AMSI.
AMSI (интерфейс сканирования антивирусных программ) - это встроенный инструмент Microsoft, который помогает обнаружить вредоносное выполнение PowerShell, поэтому Boatlaunch помогает предотвратить это. Компания Mandiant обнаружила как 32-битную, так и 64-битную версии модуля.
Еще одна новая разработка - эволюция загрузчика Birdwatch, который теперь имеет два варианта, названные Crowview и Fowlgaze.
Оба варианта основаны на .NET, но, в отличие от Birdwatch, они имеют возможность самоудаления, поставляются со встроенными полезными нагрузками и поддерживают дополнительные аргументы.
Как и Birdwatch, эти новые варианты поддерживают получение полезной нагрузки по HTTP и по-прежнему предлагают базовые шпионские функции, которые сообщают FIN7, какие процессы запущены в системе, какова конфигурация сети и какой веб-браузер используется.
Новые начинания в области ransomware
Одним из интересных результатов, представленных в отчете Mandiant, является участие FIN7 в различных хакерских атаках с использованием вымогательского ПО.
Более конкретно - аналитики обнаружили доказательства вторжений FIN7, обнаруженных непосредственно перед инцидентами с такими ransomware (программы-вымогатели), как Maze, Ryuk, Darkside и BlackCat/ALPHV.
"В дополнение к доказательствам, полученным из данных о вторжениях, вторичные артефакты указывают на то, что FIN7 играла роль, по крайней мере, в некоторых операциях DARKSIDE", - сообщает Mandiant
"Сертификат подписи кода с низкой глобальной распространенностью, использованный FIN7 в 2021 году для подписи образцов BEACON и BEAKDROP, также использовался для подписи многочисленных неатрибутированных образцов DARKSIDE, найденных в реальных исследованиях".
В октябре прошлого года Bleeping Computer сообщила о растущем интересе FIN7 к операциям с ransomware (программами-вымогателями), когда группа была разоблачена в создании фальшивой фирмы по пентестингу (тестирование на проникновение) — методу оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника — для найма специалистов по вторжению в сеть.
Предлагает ли FIN7 первоначальный доступ к сети бандам, занимающимся рассылкой вымогательского ПО, или же действует как филиал и использует вышеупомянутые штаммы, пока неясно. Тем не менее, участие хакерской группировки FIN7 в операциях по распространению вымогательского ПО очевидно.