Pratite nas preko RSS-aOzloglašena grupa FIN7 (Carbanak) se vratila sa novim malverima i metodama napada
Vesti, 06.04.2022, 11:30 AM
Hakerska grupa FIN7 se vratila sa novim backdoorom, ali i još nekim novim malverima. Ova grupa praćena i pod nazivom Carbanak, specijalizovana je za BEC prevare (Business Email Compromise) i hakovanje PoS sistema iz kojih pokušava da ukrade podatke platnih kartica kupaca. Poslednjih godina značajno je inovirala i usavršavala svoje metode upada.
Grupa koja je aktivna od 2015. godine, ima niz prilagođenih malvera koje koristi u napadima, uključujući backdoor, malvere za krađu informacija, SQLRat, downloader Loudout, a čak je koristila i USB diskove koje je slala kompanijama kako bi sisteme žrtava zarazila nekim od svojih malvera.
FIN7 je povezivan i sa operaterima ransomwarea, među kojima su čuvene grupe REvil, Darkmatter i Alphv.
Uprkos hapšenjima važnijih članova FIN7, napadi ove grupe se nastavljaju, a najnoviji uključuju „upotrebu novog malvera, nove vektore inicijalnog pristupa i verovatno promenu u strategijama monetizacije“, objavila je firma Mandiant.
Mandiant je rekao da je FIN7 proširio svoje početne metode upada izvan BEC prevara i pokušaja fišinga. Sada grupa takođe koristi lance snabdevanja, RDP i ukradene akreditive za infiltriranje u mreže kompanija.
Istraživači Mandianta kažu da u najnovijim napadima grupa favorizuje „novi” backdoor nazvan Powerplant, backdoor baziran na PowerShellu, koji se isporučuje preko Griffona, Java implantata, i da ga koristi za održavanje trajnog pristupa ciljnom sistemu i krađu informacija, uključujući i lozinke.
Powerplant takođe olakšava primenu drugih zlonamernih modula, uključujući alatku za izviđanje Easylook i Birdwatch downloader. Nove varijante .NET Birdwatch programa za preuzimanje, koje istraživački tim Mandianta prati pod imenima Crowview i Fowlgaze, koriste se za preuzimanje malicioznog koda.
Malver takođe može da pakuje i šalje informacije svom serveru za komandu i kontrolu (C2), kao što su podaci o konfiguraciji mreže, upotreba veb pretraživača, liste pokrenutih procesa i još mnogo toga.
Crowview je malo drugačiji jer uključuje mehanizam za samouništenje, promene konfiguracije i za razliku od originala, može da sadrži payload ugrađen u njegov kod.
Druga varijanta backdoora, Beacon, može se koristiti u napadima kao rezervni mehanizam za ulazak. Druge zlonamerne alatke su Powertrash dropper, Termite shellcode loader, Weirdloop, Diceloader, Pillowmint i Boatlaunch, a ovaj poslednji ima važnu ulogu u zaobilaženju Windowsovog softera za skeniranje malvera, a takođe će delovati i kao „pomoćni“ modul tokom upada.
Mandiant je povezao nekoliko kampanja za koje njegovi istraživači smatraju da su delo FIN7.
Izdvojeno
Hakeri koriste lažne prijave o kršenju autorskih prava za krađu Google naloga
Istraživači kompanije Malwarebytes upozorili su na novu fišing kampanju koja cilja programere Chrome ekstenzija koristeći lažna obaveštenja o na... Dalje
WordPress malver krije komande u komentarima Steam profila
Istraživači kompanije GoDaddy otkrili su novu WordPress malver kampanju koja koristi Steam Community profile za skrivanje komandi namenjenih komprom... Dalje
Greška u Metinom AI sistemu za korisničku podršku omogućila preuzimanje Instagram naloga
Kritična greška u Metinom AI sistemu za korisničku podršku na Instagramu omogućila je napadačima da zaobiđu dvofaktorsku autentifikaciju jednos... Dalje
InstallFix napadi: lažne ChatGPT stranice koriste se za širenje malvera
Istraživači kompanije Push Security upozorili su na novu kampanju u kojoj napadači koriste legitimne ChatGPT stranice kako bi naveli korisnike da p... Dalje
Google uvodi zaštitu od krađe kolačića sesija za sve korisnike
Google je saopštio da je bezbednosna funkcija Device Bound Session Credentials (DBSC) sada dostupna svim korisnicima i da se postepeno uvodi za Googl... Dalje
Pratite nas
Nagrade
Prijatelji
