Ozloglašena grupa FIN7 (Carbanak) se vratila sa novim malverima i metodama napada

Vesti, 06.04.2022, 11:30 AM

Ozloglašena grupa FIN7 (Carbanak) se vratila sa novim malverima i metodama napada

Hakerska grupa FIN7 se vratila sa novim backdoorom, ali i još nekim novim malverima. Ova grupa praćena i pod nazivom Carbanak, specijalizovana je za BEC prevare (Business Email Compromise) i hakovanje PoS sistema iz kojih pokušava da ukrade podatke platnih kartica kupaca. Poslednjih godina značajno je inovirala i usavršavala svoje metode upada.

Grupa koja je aktivna od 2015. godine, ima niz prilagođenih malvera koje koristi u napadima, uključujući backdoor, malvere za krađu informacija, SQLRat, downloader Loudout, a čak je koristila i USB diskove koje je slala kompanijama kako bi sisteme žrtava zarazila nekim od svojih malvera.

FIN7 je povezivan i sa operaterima ransomwarea, među kojima su čuvene grupe REvil, Darkmatter i Alphv.

Uprkos hapšenjima važnijih članova FIN7, napadi ove grupe se nastavljaju, a najnoviji uključuju „upotrebu novog malvera, nove vektore inicijalnog pristupa i verovatno promenu u strategijama monetizacije“, objavila je firma Mandiant.

Mandiant je rekao da je FIN7 proširio svoje početne metode upada izvan BEC prevara i pokušaja fišinga. Sada grupa takođe koristi lance snabdevanja, RDP i ukradene akreditive za infiltriranje u mreže kompanija.
Istraživači Mandianta kažu da u najnovijim napadima grupa favorizuje „novi” backdoor nazvan Powerplant, backdoor baziran na PowerShellu, koji se isporučuje preko Griffona, Java implantata, i da ga koristi za održavanje trajnog pristupa ciljnom sistemu i krađu informacija, uključujući i lozinke.

Powerplant takođe olakšava primenu drugih zlonamernih modula, uključujući alatku za izviđanje Easylook i Birdwatch downloader. Nove varijante .NET Birdwatch programa za preuzimanje, koje istraživački tim Mandianta prati pod imenima Crowview i Fowlgaze, koriste se za preuzimanje malicioznog koda.

Malver takođe može da pakuje i šalje informacije svom serveru za komandu i kontrolu (C2), kao što su podaci o konfiguraciji mreže, upotreba veb pretraživača, liste pokrenutih procesa i još mnogo toga.

Crowview je malo drugačiji jer uključuje mehanizam za samouništenje, promene konfiguracije i za razliku od originala, može da sadrži payload ugrađen u njegov kod.

Druga varijanta backdoora, Beacon, može se koristiti u napadima kao rezervni mehanizam za ulazak. Druge zlonamerne alatke su Powertrash dropper, Termite shellcode loader, Weirdloop, Diceloader, Pillowmint i Boatlaunch, a ovaj poslednji ima važnu ulogu u zaobilaženju Windowsovog softera za skeniranje malvera, a takođe će delovati i kao „pomoćni“ modul tokom upada.

Mandiant je povezao nekoliko kampanja za koje njegovi istraživači smatraju da su delo FIN7.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Da li su vaše lozinke među najslabijim lozinkama?

Da li su vaše lozinke među najslabijim lozinkama?

Analiza više od 19 milijardi procurelih lozinki otkrila je i dalje prisutnu, široko rasprostranjenu pojavu ponovne upotrebe slabih lozinki. Lozinke,... Dalje

Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Istraživači kompanije Bitdefender upozorili su veoma sofisticirane prevare putem pretplata, za koje sajber kriminalci koriste „neverovatno ube... Dalje

Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke

Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke

Bar jedan onlajn nalog više od trećine (36%) ljudi prošle godine je hakovan zbog slabe ili ukradene lozinke, otkrilo je novo istraživanje FIDO al... Dalje

Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi

Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi

Sajber kriminalci su koristili najmanje 75 bezbednosnih ranjivosti za koje proizvođači softvera nisu znali - takozvane nulte ranjivosti - otkriva iz... Dalje

Microsoft glavna meta fišing napada, Mastercard se vratio na listu najčešće zloupotrebljavanih brendova

Microsoft glavna meta fišing napada, Mastercard se vratio na listu najčešće zloupotrebljavanih brendova

Microsoft je i dalje brend koji se najviše zloupotrebljava u fišing napadima. Ime tehnološkog giganta pojavljuje se u više od trećine (36%) svih ... Dalje