Araştırmacılar yakın zamanda, kötü şöhretli siber suç grubu FIN7 tarafından konuşlandırılan Anubis Backdoor olarak bilinen sofistike bir Python tabanlı arka kapı keşfettiler.
En az 2015’ten bu yana aktif olan bu gelişmiş tehdit oyuncusu, öncelikle finansal ve misafirperverlik sektörlerini hedefleyen küresel olarak milyarlarca dolarlık hasardan sorumludur.
Anubis Backdoor, Fin7’nin taktiklerinde önemli bir evrimi temsil eder ve Python’u meşru sistem işlemleriyle sorunsuz bir şekilde harmanlayan gizli bir araç oluşturmak için kullanır.
Enfeksiyon vektörü ve gizleme teknikleri
İlk enfeksiyon vektörü, “Conf.py” adlı bir komut dosyası da dahil olmak üzere birden fazla Python dosyası içeren görünüşte zararsız bir fermuar arşivi içerir.
G Veri Raporuna göre, bu arşiv kimlik avı kampanyaları aracılığıyla yayıldı ve FIN7’nin sosyal mühendislik taktiklerine olan güvenini vurguladı.
Conf.py komut dosyası, CBC modunda dolgu, SHA-256 karma ve kötü niyetli yükünü gizlemek için Base64 kodlama ile AES şifrelemesini kullanan çok aşamalı bir saldırı kullanır.
Komut dosyası, gizlenmiş bir kod dizesini, içeriği çözerek ve çözerek, içeriği şifreleyerek, geçici bir dosyaya yazarak, yürüterek ve daha sonra diskteki ayak izini en aza indirmek için dosyayı silerek işler.
Temel işlevsellik ve kalıcılık
Anubis Backdoor’un temel işlevselliği, HTTP bağlantı noktaları (80/443) üzerinden ağ iletişimi, Windows kayıt defterinde kalıcılık için depolanan özelleştirilebilir sunucu listeleri ve Python’un alt işlem modülü aracılığıyla yürütme özelliklerini komuta içerir.
Saldırganların tehlikeye atılan sistemlere ek araçlar ve kötü amaçlı yazılımlar sunmalarını sağlayan aerodinamik bir dosya yükleme mekanizmasına sahiptir.
Arka kapı, AES-CBC kullanarak şifrelenen C2 yapılandırmasını Windows kayıt defterinde saklayarak kalıcılığı korur.
Bu, her enfeksiyonu benzersiz ve belirli çevresel bilgi olmadan şifresini çözmeyi zorlaştırır.
Güvenlik etkisi ve evrim
Anubis Backdoor, FIN7’ye Windows ortamlarında çalışabilen esnek bir uzaktan erişim aracı sağlar.
Tasarımı, Fin7’nin meşru ağ trafiği ile harmanlanan gizli iletişim kanallarının geliştirilmesinde devam eden evrimini göstermektedir.
Çok katmanlı gizleme, şifreleme ve modüler komut yapısının kombinasyonu, tehdit aktörlerine tam kabuk erişimi, dosya eksfiltrasyonu ve C2 altyapısının dinamik kontrolü dahil olmak üzere önemli yetenekler sağlar.
Bu özellikler, analiz ve tespiti engellemek için operasyonel güvenlik önlemleri ile birlikte, Fin7’nin en son aracının gelişmişliğini ve uyarlanabilirliğini vurgulamaktadır.
Gerçek dünyadaki kötü niyetli bağlantıları ve kimlik avı saldırılarını araştırın Tehdit İstihbarat Arama – Ücretsiz dene