Son zamanlarda, Prodraft’ın tehdit istihbarat ekibindeki siber güvenlik analistleri, FIN7 bilgisayar korsanı grubunun aşağıdaki yasa dışı faaliyetleri gerçekleştirmek amacıyla otomatik bir saldırı sistemi yoluyla Microsoft Exchange ve SQL enjeksiyonundaki güvenlik açıklarından aktif olarak yararlandığını tespit etti:-
- Bilgi çalmak için kurumsal ağlara sızın.
- Veri hırsızlığı.
- Ağların mali boyutuna dayalı uyarlanabilir fidye yazılımı saldırıları.
Bu güvenlik kuruluşu yıllardır FIN7’nin operasyonlarını yakından takip ediyor. Prodaft tarafından FIN7’nin perde arkası hakkında açıklanan birkaç ayrıntı var:-
- İç düzeydeki hiyerarşi.
- Çeşitli fidye yazılımı projeleriyle bağlantılar.
- Yeni bir SSH arka kapı sistemi.
Saldırı Modları ve Otomatik Saldırı
FIN7, en azından 2012’den beri aktif olan ve motivasyonları finansal görünen Rusça konuşan bir tehdit grubudur.
Bu tehdit grubuna aşağıdakiler de dahil olmak üzere bir dizi saldırı bağlanmıştır: –
- ATM’lere saldırılar.
- Kötü amaçlı yazılım taşıyan USB sürücülerini gizlemek için oyuncak ayıların kullanılması.
- Sahte bir siber güvenlik firması kurarak fidye yazılımı saldırılarını analiz etmek için pentesterları işe almak.
Prodaft tarafından keşfedilen Checkmarks adlı otomatik saldırılar için bir sistem var. Dolayısıyla, bu senaryoda Checkmarks, Microsoft Exchange’de uzaktan kod yürütülmesine veya ayrıcalık yükselmesine neden olabilecek güvenlik açıklarını tarayan bir tarayıcı olarak çalışır:
Haziran 2021’den bu yana, şirket ağlarının savunmasız uç noktalarını bulmak ve FIN7’nin kurumsal ağlara erişmesini sağlayan web kabuklarını bırakmak için PowerShell’i kullanarak bunlardan yararlanmak için Onay İşaretlerini aktif olarak kullanıyor.
FIN7, saldırısının bir parçası olarak, hedef ağlara erişim elde etmek için kendi özel kodu ve halka açık Kavram Kanıtları dahil olmak üzere çok sayıda açıktan yararlandı.
MS Exchange açıklarına ek olarak, Checkmarks saldırı platformunda yararlanılabilecek başka güvenlik açıkları da vardır. Ayrıca, bir web sitesinde istismar edilebilecek olası güvenlik açıklarını taramak için SQLMap kullanan bir SQL enjeksiyon modülü de vardır.
FIN7’nin Checkmarks platformuyla 1,8 milyondan fazla hedefin taranmasının ardından, şimdiden 8.147 şirkete sızıldı. Burada en ilginç olan şey, tüm bu şirketlerin ağırlıklı olarak Amerika Birleşik Devletleri merkezli olmasıdır.
C&C Sunucusu ile İletişim
Bunun dışında, alınan Jabber günlüklerinden, güvenlik analistleri birden fazla fidye yazılımı grubunun FIN7 ile iletişim halinde olduğuna dair kapsamlı kanıtlar da buldular:
Bu günlüklerde dikkate değer bir ayrıntı var ki, FIN7, fidye yazılımı tarafından gasp edilen kurbanların ağlarında, talep edilen fidyeyi ödedikten sonra bile bir SSH arka kapısı tutmaya bayılıyor.
Bu, diğer gruplara erişim satmak veya gelecekte yeni bir saldırıyı test etmek için yapılabilir. FIN7’nin arka kapı cephaneliğinin bir parçası olan bu SSH arka kapısı, tamamen yeni ve sofistike bir eklentidir.
FIN7 grubunun bir parçası olan Checkmarks, tehdit aktörlerinin tüm dünyayı etkileyebilecek geniş ölçekli saldırılar gerçekleştirmek için halka açık açıklardan yararlanmasının ne kadar kolay olacağını gösteren gelişmiş platformlardan biridir.
Ayrıca, bu tür platformların yardımıyla tehdit aktörleri de kamuya açık açıkları aktif olarak endüstriyelleştiriyor.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin