Ozloglašena grupa FIN7 (Carbanak) se vratila sa novim malverima i metodama napada

Vesti, 06.04.2022, 11:30 AM

Ozloglašena grupa FIN7 (Carbanak) se vratila sa novim malverima i metodama napada

Hakerska grupa FIN7 se vratila sa novim backdoorom, ali i još nekim novim malverima. Ova grupa praćena i pod nazivom Carbanak, specijalizovana je za BEC prevare (Business Email Compromise) i hakovanje PoS sistema iz kojih pokušava da ukrade podatke platnih kartica kupaca. Poslednjih godina značajno je inovirala i usavršavala svoje metode upada.

Grupa koja je aktivna od 2015. godine, ima niz prilagođenih malvera koje koristi u napadima, uključujući backdoor, malvere za krađu informacija, SQLRat, downloader Loudout, a čak je koristila i USB diskove koje je slala kompanijama kako bi sisteme žrtava zarazila nekim od svojih malvera.

FIN7 je povezivan i sa operaterima ransomwarea, među kojima su čuvene grupe REvil, Darkmatter i Alphv.

Uprkos hapšenjima važnijih članova FIN7, napadi ove grupe se nastavljaju, a najnoviji uključuju „upotrebu novog malvera, nove vektore inicijalnog pristupa i verovatno promenu u strategijama monetizacije“, objavila je firma Mandiant.

Mandiant je rekao da je FIN7 proširio svoje početne metode upada izvan BEC prevara i pokušaja fišinga. Sada grupa takođe koristi lance snabdevanja, RDP i ukradene akreditive za infiltriranje u mreže kompanija.
Istraživači Mandianta kažu da u najnovijim napadima grupa favorizuje „novi” backdoor nazvan Powerplant, backdoor baziran na PowerShellu, koji se isporučuje preko Griffona, Java implantata, i da ga koristi za održavanje trajnog pristupa ciljnom sistemu i krađu informacija, uključujući i lozinke.

Powerplant takođe olakšava primenu drugih zlonamernih modula, uključujući alatku za izviđanje Easylook i Birdwatch downloader. Nove varijante .NET Birdwatch programa za preuzimanje, koje istraživački tim Mandianta prati pod imenima Crowview i Fowlgaze, koriste se za preuzimanje malicioznog koda.

Malver takođe može da pakuje i šalje informacije svom serveru za komandu i kontrolu (C2), kao što su podaci o konfiguraciji mreže, upotreba veb pretraživača, liste pokrenutih procesa i još mnogo toga.

Crowview je malo drugačiji jer uključuje mehanizam za samouništenje, promene konfiguracije i za razliku od originala, može da sadrži payload ugrađen u njegov kod.

Druga varijanta backdoora, Beacon, može se koristiti u napadima kao rezervni mehanizam za ulazak. Druge zlonamerne alatke su Powertrash dropper, Termite shellcode loader, Weirdloop, Diceloader, Pillowmint i Boatlaunch, a ovaj poslednji ima važnu ulogu u zaobilaženju Windowsovog softera za skeniranje malvera, a takođe će delovati i kao „pomoćni“ modul tokom upada.

Mandiant je povezao nekoliko kampanja za koje njegovi istraživači smatraju da su delo FIN7.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zbog greške ChatGPT otkrio istoriju razgovora drugih ljudi korisnicima četbota

Zbog greške ChatGPT otkrio istoriju razgovora drugih ljudi korisnicima četbota

ChatGPT-ova funkcija istorije ćaskanja je trenutno nedostupna zbog baga koji je otkrio kratke opise razgovora drugih ljudi korisnicima AI četbota. ... Dalje

Hakovan Ferrari, kompanija odbija da plati napadačima za ukradene podatke kupaca

Hakovan Ferrari, kompanija odbija da plati napadačima za ukradene podatke kupaca

Italijanski proizvođač sportskih i trkačkih automobila Ferrari je hakovan, a napadači sada zahtevaju od kompanije da plati i tako spreči objavlji... Dalje

iPhone će biti zabranjen u Kremlju iz bezbednosnih razloga

iPhone će biti zabranjen u Kremlju iz bezbednosnih razloga

Zvaničnici uključeni u pripreme za ruske predsedničke izbore 2024. moraju da prestanu da koriste iPhone. To je, kako se izveštava, novi stav koji ... Dalje

Kaspersky objavio besplatni alat za dešifrovanje za žrtve jedne verzije zloglasnog ransomwarea Conti

Kaspersky objavio besplatni alat za dešifrovanje za žrtve jedne verzije zloglasnog ransomwarea Conti

Kaspersky je u četvrtak objavio alat za dešifrovanje koji bi mogao da pomogne žrtvama čiji su podaci zaključani jednom verzijom Conti ransomwarea... Dalje

Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Hakeri koriste ranije nedokumentovanu grešku u Microsoftovoj bezbednosnoj funkciji SmartScreen za širenje Magniber ransomwarea, upozorili su Googleo... Dalje