Liūdnai pagarsėjusi FIN7 įsilaužimo grupė buvo pastebėta parduodanti savo pritaikytą „AvNeutralizer“ įrankį, naudojamą siekiant išvengti aptikimo žudant įmonės galinių taškų apsaugos programinę įrangą įmonių tinkluose.
Manoma, kad FIN7 yra Rusijos įsilaužėlių grupuotė, veikianti nuo 2013 m., iš pradžių daugiausia dėmesio skirianti finansiniam sukčiavimui įsilaužimo organizacijoms ir debeto bei kredito kortelių vagystei.
Vėliau jie persikėlė į išpirkos reikalaujančių programų erdvę ir buvo susieti su DarkSide ir BlackMatter ransomware-as-a-operation platformomis. Tie patys grėsmės veikėjai taip pat greičiausiai yra susiję su BlackCat išpirkos reikalaujančia programa, kuri neseniai vykdė pasitraukimo sukčiavimą po to, kai pavogė UnitedHealth išpirkos mokėjimą.
FIN7 yra žinomas dėl sudėtingų sukčiavimo ir inžinerinių atakų, kad gautų pradinę prieigą prie įmonių tinklų, įskaitant apsimetinėjimą BestBuy, kad būtų siunčiami kenkėjiški USB raktai, ir kuriant pasirinktines kenkėjiškas programas bei įrankius.
Siekdami papildyti išnaudojimus, jie sukūrė netikrą saugos įmonę „Bastion Secure“, kad samdytų išpirkos reikalaujančių programų atakų ieškotojus ir kūrėjus, pareiškėjams nežinant, kaip buvo naudojamas jų darbas.
FIN7 įsilaužėliai taip pat sekami kitais pavadinimais, įskaitant Sangria Tempest, Carbon Spider ir Carbanak Group.
FIN7 parduoda įrankius kitiems įsilaužėliams
Naujoje „SentinelOne“ ataskaitoje mokslininkai teigia, kad vienas iš FIN7 sukurtų pasirinktinių įrankių yra „AvNeutralizer“ (dar žinomas kaip „AuKill“) – įrankis, naudojamas naikinti saugos programinę įrangą, kuri pirmą kartą buvo pastebėta per „BlackBasta“ išpirkos reikalaujančios programos atakas 2022 m.
Kadangi tuo metu „BlackBasta“ buvo vienintelė išpirkos reikalaujančių programų operacija, naudojanti šį įrankį, mokslininkai manė, kad tarp dviejų grupių yra ryšys.
Tačiau „SentinelOne“ istorinė telemetrija parodė, kad įrankis buvo naudojamas penkių kitų „ransomware“ operacijų atakoms, o tai rodo platų įrankio pasiskirstymą.
„Nuo 2023 m. pradžios mūsų telemetrijos duomenys atskleidžia daugybę įsibrovimų, susijusių su įvairiomis AvNeutralizer versijomis“, – aiškinama SentinelOne tyrėjo Antonio Cocomazzi ataskaitoje.
„Apie 10 iš jų yra priskiriami žmonių valdomoms išpirkos programinės įrangos įsibrovimams, kurie panaudojo gerai žinomus RaaS krovinius, įskaitant AvosLocker, MedusaLocker, BlackCat, Trigona ir LockBit.
Tolesni tyrimai atskleidė, kad grėsmės veikėjai, veikiantys slapyvardžiais „goodsoft“, „lefroggy“, „killerAV“ ir „Stupor“, nuo 2022 m. pardavinėjo „AV Killer“ rusakalbiuose programišių forumuose už kainas nuo 4 000 iki 15 000 USD.
2023 m. „Sophos“ ataskaitoje buvo išsamiai aprašyta, kaip „AvNeutralizer“ / „AuKill“ piktnaudžiavo teisėta „SysInternals Process Explorer“ tvarkykle, kad nutrauktų įrenginyje veikiančius antivirusinius procesus.
Grėsmės veikėjai teigė, kad šis įrankis gali būti naudojamas bet kokiai antivirusinei / EDR programinei įrangai, įskaitant „Windows Defender“ ir Sophos, SentinelOne, Panda, Elastic ir Symantec produktus, naikinti.
SentinelOne dabar nustatė, kad FIN7 atnaujino AVNeutralizer, kad panaudotų Windows ProcLaunchMon.sys tvarkyklę procesams sustabdyti, todėl jie nebeveikia tinkamai.
„AvNeutralizer naudoja tvarkyklių ir operacijų derinį, kad sukurtų tam tikrų konkrečių apsaugotų procesų diegimo gedimus, dėl kurių galiausiai atsiras paslaugų atsisakymo sąlyga“, – aiškina SentinelOne.
„Joje naudojama TTD monitoriaus tvarkyklė ProcLaunchMon.sys, pasiekiama numatytųjų sistemos diegimų sistemos tvarkyklių kataloge, kartu su atnaujintomis procesų naršyklės tvarkyklės versijomis su 17.02 versija (17d9200843fe0eb224644a61f0d1982fac54d), kuriai buvo atliktas kryžminis procesas šiuo metu neužblokuotas „Microsoft“ WDAC sąrašas“.
SentinelOne rado papildomų tinkintų įrankių ir kenkėjiškų programų, kurias naudoja FIN7, kuri, kaip žinoma, nėra parduodama kitiems grėsmės subjektams:
„Powertrash“ („PowerShell“ užpakalinės durys), „Diceloader“ (lengvos C2 valdomos užpakalinės durys), „Core Impact“ (siskverbimo tikrinimo įrankių rinkinys) ir SSH pagrindu veikiančios užpakalinės durys.
Tyrėjai perspėja, kad dėl nuolatinės FIN7 evoliucijos ir inovacijų įrankių ir metodų, taip pat programinės įrangos pardavimo ji kelia didelę grėsmę įmonėms visame pasaulyje.
„Nuolatinės FIN7 naujovės, ypač sudėtingos saugos priemonių išvengimo technologijos, parodo jos techninę kompetenciją“, – daro išvadą „SentinelOne“ tyrėjas Antonio Cocomazzi.
„Grupė naudoja kelis pseudonimus ir bendradarbiauja su kitais elektroniniais nusikaltėliais, todėl priskyrimas tampa sudėtingesnis ir parodo pažangias veiklos strategijas.