FIN7 и их эволюция: от POS-мошенников к грозным вымогателям

Специалисты обнаружили новые доказательства того, что печально известная хакерская группа FIN7 продолжает совершенствовать свои методы атак и расширять влияние в криминальном подполье. Согласно последним исследованиям, хакеры используют множество псевдонимов для маскировки своей истинной личности и поддержания преступных операций на подпольных форумах.

FIN7 действует с 2012 года. За это время она успела нанести значительный ущерб различным секторам экономики, включая гостиничный бизнес, энергетику, финансы, высокие технологии и розничную торговлю.

Изначально FIN7 использовала вредоносное ПО для POS -терминалов с целью финансового мошенничества. Однако с 2020 года группа переключила свое внимание на операции с программами-вымогателями, присоединившись к известным группам RaaS (вымогательство как услуга), таким как REvil и Conti, а также запустив собственные программы RaaS под названиями Darkside и BlackMatter.

Одной из отличительных черт FIN7 является создание поддельных компаний в сфере информационной безопасности. Так, группа основала фиктивные фирмы Combi Security и Bastion Secure для обмана

Несмотря на аресты некоторых членов группы, деятельность FIN7 продолжается, что указывает на изменение тактик, временные перерывы или появление отколовшихся подгрупп.

Новые данные показывают, что FIN7 активно продает свои инструменты на криминальных форумах. В частности, исследователи обнаружили рекламные объявления, предлагающие специализированный инструмент для обхода систем защиты под названием AvNeutralizer (также известный как AuKill).

Анализ активности на различных подпольных форумах выявил несколько псевдонимов, предположительно связанных с FIN7:

• "goodsoft"
• "lefroggy"
• "killerAV"
• "Stupor"

Эти пользователи размещали схожие объявления о продаже инструментов для обхода антивирусных систем и пост-эксплуатационных фреймворков.

Арсенал FIN7 включает в себя ряд сложных инструментов, каждый из которых предназначен для определенного этапа атаки:

1. Powertrash - сильно обфусцированный PowerShell-скрипт для рефлективной загрузки PE-файлов в память.
2. Diceloader (также известный как Lizar и IceBot) - минимальный бэкдор для установления канала управления и контроля (C2).
3. SSH-based Backdoor - набор инструментов на основе OpenSSH и 7zip для обеспечения постоянного доступа к скомпрометированным системам.
4. Core Impact - коммерческий инструмент для тестирования на проникновение, используемый FIN7 для эксплуатации уязвимостей.
5. AvNeutralizer - специализированный инструмент для обхода решений безопасности.

Особый интерес представляет эволюция инструмента AvNeutralizer. Последняя версия этого вредоносного ПО использует ранее неизвестную технику для обхода некоторых реализаций защищенных процессов, используя встроенный драйвер Windows ProcLaunchMon.sys (TTD Monitor Driver).

FIN7 также разработала автоматизированную систему атак под названием Checkmarks. Эта платформа в основном нацелена на эксплуатацию общедоступных серверов Microsoft Exchange, используя уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207).

Кроме того, платформа Checkmarks включает модуль Auto-SQLi для атак с использованием SQL-инъекций. Если первоначальные попытки не увенчались успехом, инструмент SQLMap сканирует цели на наличие потенциальных уязвимостей SQL-инъекций.

Исследователи обнаружили множество вторжений с использованием уязвимостей SQL-инъекций, нацеленных на общедоступные серверы через автоматизированную эксплуатацию. Эти атаки приписываются FIN7 с средней степенью уверенности. Большинство этих вторжений произошло в 2022 году, особенно в третьем квартале, затронув американские компании в производственном, юридическом и государственном секторах.

Наблюдаемые действия по эксплуатации включают использование PowerShell-дропперов с несколькими уровнями обфускации, которые в конечном итоге приводят к загрузке и выполнению вредоносной полезной нагрузки.

Исследование деятельности FIN7 подчеркивает адаптивность, настойчивость и постоянную эволюцию этой группы угроз. Разработка и коммерциализация специализированных инструментов, таких как AvNeutralizer, на криминальных подпольных форумах значительно усиливает влияние группы.

Постоянные инновации FIN7, особенно в области сложных методов обхода мер безопасности, демонстрируют высокий уровень технической экспертизы группы. Использование множества псевдонимов и сотрудничество с другими киберпреступными группировками усложняет атрибуцию и свидетельствует о продвинутых операционных стратегиях FIN7.