Black Basta Fidye Yazılımı Özel Hack ve Kaçınma Araçlarını Dağıtmak için FIN7 Hackerları ile Bağlanıyor

   Kasım 7, 2022  Posted in CyberSecurityNews


<strong>Black Basta Fidye Yazılımı Özel Hack ve Kaçınma Araçlarını Dağıtmak için FIN7 Hackerları ile Bağlanıyor</strong>” başlık=”<strong>Black Basta Fidye Yazılımı Özel Hack ve Kaçınma Araçlarını Dağıtmak için FIN7 Hackerları ile Bağlanıyor</strong>“/></div> <p>Finansal olarak motive edilmiş bir bilgisayar korsanlığı grubu olan FIN7 (aka Carbanak) ile Black Basta fidye yazılımı çetesi arasındaki bağlantıya işaret eden kanıtlar bulundu. </p> <p>Sentinel Lab’deki siber güvenlik araştırmacıları, bu iki kötü niyetli grup arasındaki bu yasadışı bağlantıyı buldukları bir analiz yaptılar.</p> <p>Çifte gasp saldırısı modeli, Black Basta’nın ayırt edici özelliğidir ve bu fidye yazılımı çetesi Nisan 2022’den beri faaliyet göstermektedir. Öte yandan FIN7, 2015’ten beri faaliyet göstermektedir ve finansal olarak motive olan bir Rus hack grubudur. </p> <p>FIN7, dünyanın dört bir yanındaki kuruluşlara yönelik saldırılarında, POS terminallerine kötü amaçlı yazılım dağıtmak için hedef odaklı kimlik avı saldırıları ve POS kötü amaçlı yazılımlarını kullandı.</p> <div class= DÖRT

Araç analizi sırasında araştırmacılar, Black Basta’nın Haziran 2022’den bu yana EDR kaçınma araçlarını özel kullanımının bir FIN7 geliştiricisi tarafından yazıldığını keşfetti.

Araştırmacılar ayrıca hem FIN7 hack grubunda hem de Black Basta fidye yazılımı çetesinde tamamen yaygın olan iki IP adresi ve TTP keşfettiler.

İlk uzlaşmayı ve diğer yasa dışı faaliyetleri gerçekleştirmek için FIN7, aşağıdakileri içeren çeşitli fidye yazılımı çeteleriyle birlikte çalıştı: –

Black Basta’nın Nisan 2022 operasyonu, çetenin önceki sofistike deneyim yeteneklerini sergiledi. O zamanlar olduğu gibi, Black Basta operatörleri çok sayıda yüksek profilli kurbanı hedef aldı ve bu da birkaç analisti bunun Conti’nin yeni varyantı olabileceğine ikna etti.

Ayrıca, analiz sırasında UPX ile paketlenmiş bir yürütülebilir dosya keşfedildi ve bu, “WindefCheck.exe” adlı özel bir araç. Uzmanlar, paketlenmemiş örneği derlemek için Visual Basic’in kullanıldığını iddia etti.

Uygulamanın ana özelliklerinden biri olarak, sistemin tamamen “sağlıklı” olduğu ve kusursuz çalıştığı izlenimiyle sahte bir Windows Güvenlik GUI’si ve tepsi simgesi görüntüler.

45’te bir C2 sunucusuna bağlantı kurmak için[.]67[.]229[.]148, BIRDDOG (aka SocksBot) arka kapısı Black Basta fidye yazılımı çetesinin operatörleri tarafından kullanıldı ve FIN7 hack grubu üyeleri tarafından da kullanılan aynı arka kapı.

FIN7 operasyonları genellikle paketleyicinin kaynak koduna ve Black Basta fidye yazılımı çetesi tarafından kullanılan bozulma aracına erişimi olan tehdit aktörleri tarafından gerçekleştirildi.

Bu bağlantıların, bu iki grup arasındaki güçlü ilişkinin ikna edici kanıtı olduğuna şüphe yoktur.

Sürekli genişleyen, değişen ve gelişen suç yazılımı ekosisteminde her zaman karşı karşıya kalınacak yeni tehditler vardır. Bu nedenle, güvenlik çözümleri yalnızca tamamen koruyacak tek unsur olmadığından, kullanıcıların tehdit aktörleri tarafından benimsenen en son gelişen TTP’lerle güncel kalması gerekir.

Hizmet Olarak Sızma Testi – Red Team & Blue Team Workspace’i İndirin



Source link