Специалисты обнаруженный Новые данные показывают, что пресловутая хакерская группа FIN7 продолжает совершенствовать свои методы атак и расширять свое влияние в преступном подполье. Согласно недавним исследованиям, хакеры используют различные псевдонимы, чтобы скрыть свою истинную личность и способствовать преступной деятельности на подпольных форумах.

FIN7 работает с 2012 года. За это время оно успело нанести значительный ущерб различным отраслям экономики, включая гостиничный бизнес, энергетику, финансы, высокие технологии и розничную торговлю.

Первоначально FIN7 использовала вредоносное ПО для POS-терминалов с целью финансового мошенничества. Однако с 2020 года группа переключила свое внимание на операции с программами-вымогателями, присоединившись к известным группам «Вымогатели как услуга» (RaaS), таким как REvil и Conti, и запустив собственные программы RaaS под названием Darkside и BlackMatter.

Одной из отличительных черт FIN7 является создание фейковых компаний по информационной безопасности. Группа основала фиктивные компании, такие как Combi Security и Bastion Secure, для мошенничества.

Несмотря на аресты некоторых членов группировки, деятельность FIN7 продолжается, что позволяет предположить изменение тактики, временное затишье или появление расколовшихся подгрупп.

Новые данные показывают, что FIN7 активно продает свои инструменты на криминальных форумах. В частности, исследователи обнаружили рекламу, предлагающую специализированный инструмент обхода под названием AvNeutralizer (также известный как AuKill).

Анализ активности на различных подпольных форумах выявил несколько псевдонимов, предположительно связанных с FIN7:

• «гудсофт»
• «Лефрогги»
• «киллерАВ»
• «Ступор»

Эти пользователи разместили аналогичные объявления о продаже инструментов обхода антивирусных систем и фреймворков пост-эксплуатации.

Арсенал FIN7 включает ряд сложных инструментов, каждый из которых предназначен для определенного этапа атаки:

1. Powertrash — это сильно запутанный сценарий PowerShell для рефлексивной загрузки PE-файлов в память.
2. Diceloader (также известный как Lizar и IceBot) — это минимальный бэкдор для построения канала управления и контроля (C2).
3. Бэкдор на основе SSH — набор инструментов на базе OpenSSH и 7zip для обеспечения постоянного доступа к скомпрометированным системам.
4. Core Impact — это коммерческий инструмент тестирования на проникновение, используемый FIN7 для эксплуатации уязвимостей.
5. AvNeutralizer — специализированный инструмент для обхода решений безопасности.

Особый интерес представляет разработка инструмента AvNeutralizer. Последняя версия этого вредоносного ПО использует ранее неизвестную технику обхода определенных реализаций защищенных процессов с помощью встроенного драйвера Windows ProcLaunchMon.sys (TTD Monitor Driver).

FIN7 также разработала автоматизированную систему атак под названием Checkmarks. Эта платформа в основном предназначена для использования общедоступных серверов Microsoft Exchange с использованием уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207).

Кроме того, платформа Checkmarks включает модуль Auto-SQLi для атак с использованием SQL-инъекций. Если первоначальные попытки не увенчались успехом, инструмент SQLMap сканирует цели на наличие потенциальных уязвимостей внедрения SQL.

Исследователи обнаружили многочисленные нарушения с использованием уязвимостей SQL-инъекций, которые нацелены на общедоступные серверы посредством автоматизированной эксплуатации. Эти атаки с умеренной уверенностью приписываются FIN7. Большинство этих вмешательств произошло в 2022 году, особенно в третьем квартале, и затронуло американские компании в производственном, юридическом и государственном секторах.

Замеченные действия по эксплуатации включают использование дропперов PowerShell с несколькими уровнями запутывания, что в конечном итоге приводит к загрузке и выполнению вредоносных полезных данных.

Исследование FIN7 подчеркивает адаптивность, устойчивость и постоянное развитие этой группы угроз. Разработка и коммерциализация на подпольных криминальных форумах специализированных инструментов, таких как AvNeutralizer, значительно увеличивает влияние группировки.

Постоянные инновации FIN7, особенно в области сложных методов обхода безопасности, демонстрируют высокий уровень технических знаний группы. Использование нескольких псевдонимов и сотрудничество с другими группами киберпреступников усложняют установление личности и демонстрируют передовые оперативные стратегии FIN7.