AvNeutralizer: плащ-невидимка FIN7 для обхода систем обнаружения

Исследователи раскрыли новую мошенническую схему известной хакерской группы FIN7 . Преступники активно рекламируют и продают на темных форумах инструмент для обхода систем безопасности под названием AvNeutralizer. Этот софт позволяет незаметно проникать в устройства жертв, обходя системы обнаружения угроз.

По данным свежего отчета компании SentinelOne , AvNeutralizer уже взяли на вооружение несколько вымогательских группировок.

История AvNeutralizer берет начало в апреле 2022 года. Любопытно, что первые полгода инструмент использовался другой группой - Black Basta. Вероятно, она была одним из первых покупателей.

Аналитики SentinelOne обнаружили множество объявлений на различных подпольных форумах, рекламирующих продажу AvNeutralizer. Чтобы скрыть свои следы, FIN7 использовала целый ряд псевдонимов, среди которых "goodsoft", "lefroggy", "killerAV" и "Stupor". Стоимость ПО колеблется от 4 до 15 тысяч долларов.

Ключевая особенность AvNeutralizer заключается в том, что он настраивается индивидуально под каждого покупателя, позволяя целенаправленно атаковать конкретные системы безопасности по их выбору. С начала 2023 года вредонос успел "засветиться" во множестве кибератак, включая последующее внедрение печально известных программ-вымогателей вроде AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit.

Разработчики AvNeutralizer не сидят сложа руки и постоянно совершенствуют свое детище. Последняя версия, обнаруженная SentinelOne, включает новый метод обхода систем безопасности, ранее не встречавшийся "в дикой природе". В частности, новая версия использует встроенный драйвер Windows под названием "ProcLaunchMon.sys" в связке с драйвером Process Explorer.

Сама FIN7 действует с 2013 года и за это время успела нанести значительный финансовый ущерб таким отраслям, как гостиничный бизнес, энергетика, финансы, высокие технологии и розничная торговля. Совсем недавно, в апреле этого года, группа совершила нападение на крупного автопроизводителя в США.

Эксперты SentinelOne подчеркивают, что разработка и коммерциализация инструментов, подобных AvNeutralizer, на криминальных подпольных форумах значительно усиливает влияние группы. Использование множества псевдонимов и сотрудничество с другими киберпреступными организациями затрудняет идентификацию злоумышленников и демонстрирует их продвинутые тактические приемы.