Kötü şöhretli Fin7 hackleme grubu, kurumsal ağlarda kurumsal uç nokta koruma yazılımını öldürerek tespitten kaçınmak için kullanılan özel "avneutralizer" aracını sattı.
Fin7'nin 2013'ten beri aktif olan ve başlangıçta organizasyonları hackleyerek ve banka ve kredi kartlarını çalarak finansal sahtekarlığa odaklanan bir Rus hack grubu olduğuna inanılıyor.
Daha sonra fidye yazılımı alanına taşındılar ve Darkside ve Blackmatter fidye yazılımı platformları ile bağlantılıydılar. Aynı tehdit aktörleri de muhtemelen UnitedHealth fidye ödemesini çaldıktan sonra bir çıkış dolandırıcılığı yapan Blackcat Fidye Yazılımı operasyonuna da bağlıdır.
Fin7, kurumsal ağlara ilk erişim elde etmek için gelişmiş kimlik avı ve mühendislik saldırıları ile bilinir, bu da kötü niyetli USB anahtarları göndermek ve özel kötü amaçlı yazılım ve araçlar geliştirmek için Bestbuy taklit edilmesi de dahil olmak üzere.
İstismarlara eklemek için, başvuru sahiplerinin işlerinin nasıl kullanıldığını bilmeden pentesterleri ve geliştiricileri kiralamak için Bastion Secure adlı sahte bir güvenlik şirketi oluşturdular.
Fin7 korsanları, Sangria Tempest, Carbon Spider ve Carbanak Grubu da dahil olmak üzere diğer isimler altında da izlenir.
SentinelOne'un yeni bir raporunda, araştırmacılar FIN7 tarafından oluşturulan özel araçlardan birinin, 2022'de Blackbasta Fidye Yazılımı operasyonunun saldırılarında ilk kez tespit edilen güvenlik yazılımını öldürmek için kullanılan bir araç olan "Avneutralizer" (AKA Aukill) olduğunu söylüyor.
Blackbasta o sırada aracı kullanan tek fidye yazılımı operasyonu olduğundan, araştırmacılar iki grup arasında bir bağlantı olduğuna inanıyorlardı.
Bununla birlikte, Sentinelone'un tarihi telemetrisi, aletin diğer beş fidye yazılımı işleminin saldırılarında kullanıldığını ve aracın geniş bir dağılımını gösterdiğini göstermiştir.
Sentinelone araştırmacısı Antonio Cocomazzi'nin bir raporu, "2023'ün başlarından beri telemetri verilerimiz, Avneutralizer'ın çeşitli versiyonlarını içeren çok sayıda müdahale ortaya koyuyor."
"Bunların yaklaşık 10'u, Avoslocker, Medusalocker, Blackcat, Trigona ve Lockbit gibi iyi bilinen RAAS yüklerini kullanan insan tarafından işletilen fidye yazılımı müdahalelerine atfediliyor."
Daha fazla araştırma, "Goodsoft", "LeFroggy", "Killerav" ve "Stupor", 2022'den bu yana 4.000 $ ile 15.000 $ arasında değişen fiyatlar için Rusça konuşan hack forumlarında bir "AV katil" sattığını ortaya koydu.
Sophos'un 2023 tarihli bir raporu, Avneutralizer/Aukill'in bir cihazda çalışan antivirüs süreçlerini sonlandırmak için meşru Sysinternals süreci sürücüsünü nasıl kötüye kullandığını detaylandırdı.
Tehdit oyuncusu, bu aracın Windows Defender ve Sophos, Sentinelone, Panda, Elastik ve Symantec'in ürünleri de dahil olmak üzere herhangi bir antivirüs/EDR yazılımını öldürmek için kullanılabileceğini iddia etti.
SentinelOne şimdi FIN7'nin Windows Proclaunchmon.sys sürücüsünü kullanmak için AvNeutRalizer'ı güncellediğini ve işlemleri asmak için artık doğru çalışmamasını sağladı.
Sentinelone, "Avneutralizer, korunan süreçlerin bazı belirli uygulamalarında başarısızlık yaratmak için sürücüler ve operasyonların bir kombinasyonunu kullanıyor ve sonuçta hizmet koşulunu reddetmeye yol açıyor."
"TTD Monitör Sürücüsü Proclaunchmon.sys, Sistem Sürücüleri Dizini'ndeki varsayılan sistem kurulumlarında mevcut olan, sürüm 17.02 (17D9200843FE0EB224644A61F0D1982FAC54D844) ile güncellenmiş sürümlerle birlikte, çapraz işlem için sertleşmiş olan sürümlerle birlikte kullanılır ve Şu anda Microsoft'un WDAC listesi tarafından engellenmiyor. "
SentinelOne, FIN7 tarafından kullanılan ek özel takım ve kötü amaçlı yazılım buldu, bu da diğer tehdit aktörlerine satıldığı bilinmiyor:
PowerTrash (bir PowerShell arka kapı), dikel yükleyici (hafif C2 bağlı bir arka kapı), çekirdek etki (bir penetrasyon testi araç seti) ve SSH tabanlı bir arka kapı.
Araştırmacılar, Fin7'nin araç ve tekniklerde devam eden evrim ve yeniliğin yanı sıra yazılımının satışı, dünya çapında işletmeler için önemli bir tehdit haline getirdiği konusunda uyarıyor.
Sentinelone araştırmacısı Antonio Cocomazzi, "Fin7'nin sürekli inovasyonu, özellikle güvenlik önlemlerinden kaçınmak için sofistike tekniklerinde teknik uzmanlığını sergiliyor."
"Grubun çoklu takma adları kullanması ve diğer siber suçlu varlıklarla işbirliği, ilişkilendirmeyi daha zorlaştırıyor ve ileri operasyonel stratejilerini gösteriyor."
Yat devi Marinemax veri ihlali 123.000'den fazla kişiyi etkiler
Rite Aid, Haziran Veri ihlalinin 2,2 milyon kişiyi etkilediğini söylüyor
Microsoft, dağınık örümcek bilgisayar korsanlarını Qilin fidye yazılımı saldırılarına bağlar
Ransomhub gasp çetesi şu anda yok olan Şövalye Fidye Yazılımına Bağlı
Microsoft: Octo Tempest en tehlikeli finansal hack gruplarından biridir
Kaynak: Bleeping Computer