Ozloglašena grupa FIN7 (Carbanak) se vratila sa novim malverima i metodama napada

Vesti, 06.04.2022, 11:30 AM

Ozloglašena grupa FIN7 (Carbanak) se vratila sa novim malverima i metodama napada

Hakerska grupa FIN7 se vratila sa novim backdoorom, ali i još nekim novim malverima. Ova grupa praćena i pod nazivom Carbanak, specijalizovana je za BEC prevare (Business Email Compromise) i hakovanje PoS sistema iz kojih pokušava da ukrade podatke platnih kartica kupaca. Poslednjih godina značajno je inovirala i usavršavala svoje metode upada.

Grupa koja je aktivna od 2015. godine, ima niz prilagođenih malvera koje koristi u napadima, uključujući backdoor, malvere za krađu informacija, SQLRat, downloader Loudout, a čak je koristila i USB diskove koje je slala kompanijama kako bi sisteme žrtava zarazila nekim od svojih malvera.

FIN7 je povezivan i sa operaterima ransomwarea, među kojima su čuvene grupe REvil, Darkmatter i Alphv.

Uprkos hapšenjima važnijih članova FIN7, napadi ove grupe se nastavljaju, a najnoviji uključuju „upotrebu novog malvera, nove vektore inicijalnog pristupa i verovatno promenu u strategijama monetizacije“, objavila je firma Mandiant.

Mandiant je rekao da je FIN7 proširio svoje početne metode upada izvan BEC prevara i pokušaja fišinga. Sada grupa takođe koristi lance snabdevanja, RDP i ukradene akreditive za infiltriranje u mreže kompanija.
Istraživači Mandianta kažu da u najnovijim napadima grupa favorizuje „novi” backdoor nazvan Powerplant, backdoor baziran na PowerShellu, koji se isporučuje preko Griffona, Java implantata, i da ga koristi za održavanje trajnog pristupa ciljnom sistemu i krađu informacija, uključujući i lozinke.

Powerplant takođe olakšava primenu drugih zlonamernih modula, uključujući alatku za izviđanje Easylook i Birdwatch downloader. Nove varijante .NET Birdwatch programa za preuzimanje, koje istraživački tim Mandianta prati pod imenima Crowview i Fowlgaze, koriste se za preuzimanje malicioznog koda.

Malver takođe može da pakuje i šalje informacije svom serveru za komandu i kontrolu (C2), kao što su podaci o konfiguraciji mreže, upotreba veb pretraživača, liste pokrenutih procesa i još mnogo toga.

Crowview je malo drugačiji jer uključuje mehanizam za samouništenje, promene konfiguracije i za razliku od originala, može da sadrži payload ugrađen u njegov kod.

Druga varijanta backdoora, Beacon, može se koristiti u napadima kao rezervni mehanizam za ulazak. Druge zlonamerne alatke su Powertrash dropper, Termite shellcode loader, Weirdloop, Diceloader, Pillowmint i Boatlaunch, a ovaj poslednji ima važnu ulogu u zaobilaženju Windowsovog softera za skeniranje malvera, a takođe će delovati i kao „pomoćni“ modul tokom upada.

Mandiant je povezao nekoliko kampanja za koje njegovi istraživači smatraju da su delo FIN7.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle hapšenja članova grupe, stižu upozorenja da ransomware banda REvil ponovo napada

Posle hapšenja članova grupe, stižu upozorenja da ransomware banda REvil ponovo napada

Zloglasna ransomware grupa REvil ponovo se pojavila, tvrdi nekoliko istraživača bezbednosti koji prate njene napade. Grupa je po drugi put prekinula... Dalje

Mnogi veb sajtovi beleže sve što kucate pre nego što pritisnete ''Pošalji''

Mnogi veb sajtovi beleže sve što kucate pre nego što pritisnete ''Pošalji''

Kada se prijavljujete za bilten, rezervišete hotel ili se prijavljujete na sajtu, verovatno mislite da ako ste tri puta pogrešno otkucali imejl adre... Dalje

Italijanska policija sprečila napade proruskih hakera na Evroviziju

Italijanska policija sprečila napade proruskih hakera na Evroviziju

Italijanske vlasti uspele su da blokiraju pokušaje proruskih hakera da prekinu takmičenje za Pesmu Evrovizije tokom polufinala 10. maja i finala koj... Dalje

Poznati kradljivac lozinki RedLine ponovo se širi preko YouTube videa

Poznati kradljivac lozinki RedLine ponovo se širi preko YouTube videa

Istraživači Netskope Threat Labsa otkrili su novu kampanju za širenje RedLine Stealera, jeftinog alata za krađu lozinki koji se prodaje na hakersk... Dalje

Broj ransomware napada u padu zbog sankcija protiv Rusije koje otežavaju život sajber kriminalcima

Broj ransomware napada u padu zbog sankcija protiv Rusije koje otežavaju život sajber kriminalcima

Broj ransomware napada opao je poslednjih meseci jer sankcije protiv Rusije otežavaju sajber kriminalcima da organizuju napade i primaju otkupnine, o... Dalje