В конце прошлого года крупный американский автопроизводитель, название которого не раскрывается, стал жертвой целенаправленной атаки, осуществлённой хакерской группировкой FIN7. По информации исследователей из компании BlackBerry, злоумышленники использовали фишинговые письма для сотрудников IT-отдела, чтобы заразить системы компании вредоносным программным обеспечением через бэкдор Anunak.

Атака началась с отправки сотрудникам компании ссылок на поддельный сайт, маскирующийся под легитимный инструмент Advanced IP Scanner. Применив методы социальной инженерии, хакеры убедили пользователей перейти по ссылке и загрузить исполняемый файл, который инициировал установку бэкдора.

В ходе анализа специалисты BlackBerry выяснили, что киберпреступники использовали уникальные скрипты PowerShell с обфусцированным шелл-кодом «PowerTrash», что позволило с высокой уверенностью связать эту атаку с группировкой FIN7. Этот же метод был впервые замечен во вредоносной кампании FIN7 в 2022 году.

В процессе атаки зловредный файл, получивший название «WsTaskLoad.exe», запускал многоступенчатый процесс с использованием вредоносных DLL, WAV-файлов и шелл-кода, что в итоге приводило к загрузке и расшифровке файла «dmxl.bin» с бэкдором Anunak. Стоит отметить, что хакеры FIN7 также часто используют в своих атаках другой бэкдор — Carbanak, но в рассмотренной кампании применили именно Anunak.

После развертывания бэкдора в целевой системе была создана задача для OpenSSH, обеспечивающая постоянный доступ злоумышленников, однако исследователи не обнаружили использование этого метода для перемещения по сети в анализируемой кампании.

Интересно, что, несмотря на сложность атаки, FIN7 не смогли распространить заражение дальше первоначально инфицированной системы. Исследователи подчеркивают важность защиты от фишинга, который до сих пор остается основным методом вторжения злоумышленников.

Внедрение многофакторной аутентификации и использование продвинутых решений для фильтрации электронной почты поможет избежать нападок хакеров и сохранить свои данные в безопасности. А такие меры, как использование уникальных сложных паролей, регулярное обновление программного обеспечения и постоянный мониторинг сетевой активности, также помогут значительно улучшить защиту корпоративных сетей и не переживать за безопасность компании.