Finansal olarak motive olmuş tehdit oyuncusu Fin7, BT departmanındaki çalışanlar için Anunak arka kapı ile sistemleri enfekte etmek için büyük bir ABD otomobil üreticisini hedef aldı.
BlackBerry'deki araştırmacılara göre, saldırı geçen yılın sonlarında gerçekleşti ve karara yaşamın ikili dosyalarına, senaryolarına ve kütüphanelerine (lolbas) dayanıyordu. Tehdit oyuncusu, yüksek seviyeli ayrıcalıklara sahip hedeflere odaklandı ve onları meşru gelişmiş IP tarayıcı aracını taklit eden kötü amaçlı bir URL ile bağlantılarla çekti.
BlackBerry, ilk olarak 2022 kampanyasında görülen rakiplerin 'PowerTrash' gizlenmiş kabuk kodu invokerini kullanarak benzersiz PowerShell komut dosyalarının kullanımına dayanan saldırıları FIN7'ye bağladı.
Bundan önce FIN7, açıkta olan Veeam yedekleme ve Microsoft Exchange sunucularını hedefliyor ve ayrıca Black Basta ve Clop fidye yazılımı yüklerini kurumsal ağlara dağıttı.
Fin7'nin saldırısı, ABD merkezli büyük bir otomobil üreticisinin BT departmanında oldukça ayrıcalıklı çalışanları hedefleyen mızrak aktı e-postalarıyla başladı.
E-postalardaki bağlantılar, "Advanced-iP-scanner.com" da barındırılan meşru tarayıcı projesinin yazım hatası olan "Advanced-IP-Panner [.] Com" a gider.
Araştırmacılar, sahte sitenin "Myipscanner [.] Com" a (şimdi çevrimdışı) yönlendirdiğini keşfettiler. Ziyaretçi daha sonra gelişmiş IP tarayıcısı için meşru yükleyici olarak gizlenmiş kötü amaçlı yürütülebilir ('wstaskload.exe') sunan bir Dropbox sayfasına götürülecektir.
Yürütüldükten sonra, dosya DLL, WAV dosyaları ve Shellcode yürütmeyi içeren çok aşamalı bir işlemi tetikler, bu da Anunak arka kapı yükünü içeren 'DMXL.Bin' adlı bir dosyanın yüklenmesine ve şifresini çözmeye yol açar.
Anunak/Carbanak, Fin7'nin yükleme, griffon, powerplant ve dikeloader ile birlikte kullandığı çeşitli kötü amaçlı araçlardan biridir.
Wstaskload.exe ayrıca kalıcı erişim için openssh yükler ve planlanmış bir görev oluşturur. Fin7 daha önce yanal hareket için openssh kullanmıştı, ancak BlackBerry bunu analiz ettikleri kampanyada gözlemlemediğini söylüyor.
Araştırmacılar, sadece "ABD merkezli büyük bir çok uluslu otomotiv üreticisi" olarak tanımladıkları kurban kuruluşunun adını açıklamadılar.
Fin7 2013'ten beri var, ancak sadece son birkaç yıldır daha büyük hedeflere geçti ve tipik son yük fidye yazılımı. Fidye yazılımı bağlamında daha büyük kuruluşlara saldırmaya geçiş, daha büyük fidye ödeyebildikleri için mantıklıdır.
BlackBerry, Fin7'nin saldırısının intial enfekte sistemin ötesine ve yan hareket aşamasına yayılmadığını söylüyor. Şirket, şirketlerin en yaygın saldırı vektörü olan kimlik avına karşı savunmasını ve çalışanların kötü niyetli yemlerden uzaklaşabilmeleri için uygun eğitim sağlamalarını önermektedir.
Tüm kullanıcı hesaplarına çok faktörlü kimlik doğrulama (MFA) uygulamak, bir saldırganın erişim kimlik bilgilerini çalmayı başarsalar bile bir çalışanın hesabına erişmesini zorlaştırır.
Güçlü, benzersiz şifrelerin kullanılması, tüm yazılımları güncel tutmak, şüpheli davranışlar için ağı izlemek ve gelişmiş e -posta filtreleme çözümleri eklemek gibi temel savunmalar da çok çeşitli saldırganlara karşı korunmaya yardımcı olur.
MITM kimlik avı saldırısı, saldırganların kilidini açmasına ve bir Tesla'yı çalmasına izin verebilir
Google Reklam Balinalar Pazarı, Cüzdan Tohumu Düzenleyicisi'ni zorlamak için taklit ediyor
Siber suçlular, parola tonozlarını kesmek için LastPass personeli olarak poz verir
40.000 alan adı bozuldu Labhost kimlik avı hizmeti, 37 tutuklandı
FBI, devasa yol geçişli sms kimlik avı saldırılarını uyarıyor
Kaynak: Bleeping Computer