FIN7 Başarısız Saldırıda ABD Otomotiv Devini Hedef Aldı

Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı

Yönetici Haklarına Sahip Çalışanlara Hedefli Kimlik Avı Mesajları Gönderildi

Sayın Mihir (MihirBagwe) •
19 Nisan 2024

Rusya merkezli bir siber suç grubu, büyük bir Amerikan otomobil üreticisini hedef aldı; bu, çetenin büyük bir maaş günü sağlayacağını umduğu zengin kurbanlara yöneldiğine dair bir kanıt daha.

Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?

BlackBerry’nin tehdit analizi, 2023’ün sonlarında FIN7 tehdit grubunun otomobil üreticisini hedef alan bir hedef odaklı kimlik avı kampanyasını izledi.

Carbon Spider, Elbrus ve Sangria Tempest olarak da bilinen FIN7, “yüksek düzeyde idari haklara” sahip çalışanları hedef aldı. BlackBerry, siber savunucuların kampanyayı erkenden tespit ettiğini, virüslü bir sistemi tespit ettiğini ve bilgisayar korsanlarının daha derinlere sızmasına fırsat vermeden onu izole ettiğini söyledi. yanal hareket yoluyla ağa girer.

BlackBerry, grubun imzasını gizleme teknikleri ve Microsoft’un FIN7 aktörleriyle ilişkilendirdiği PowerTrash gibi bilinen kötü amaçlı yazılım yükleme araçlarının kullanılması nedeniyle saldırıyı büyük bir güvenle FIN7’ye bağladı.

FIN7 2013’ten bu yana aktif. Tehdit analistleri, 2020 yılı civarında, “büyük av avcılığına”, yani paralı kurbanlardan yüksek getiri beklentisiyle gerçekleştirilen hedefli, düşük hacimli suç faaliyetlerine kaydığını söylüyor. Kurumsal ağlara yasa dışı giriş elde etmek için, virüslü büyük sürücüler içeren dekoratif hediye kutularının postalanması da dahil olmak üzere bir dizi teknik kullanıldı (bkz: FIN7, BadUSB Aracılığıyla ABD İşletmelerini Hedef Alıyor).

FIN7, Gold Niagara, Alphv/BlackCat gibi diğer siber suç gruplarıyla bağlantılıdır. Son raporlar ayrıca FIN7’nin saldırılarının bir parçası olarak REvil ve DarkSide gibi fidye yazılımlarının dağıtımına dahil olduğunu ve daha agresif taktiklere doğru bir değişimin sinyalini verdiğini gösteriyor. Microsoft söz konusu Geçen yıl grubun Clop fidye yazılımı çetesiyle bağları vardı.

Bu kampanyada grup, hedeflenen kurbana göre tasarlanmış, kötü amaçlı bir URL’ye bağlantılar içeren hedef odaklı kimlik avı e-postaları kullandı, “advanced-ip-sccanner.com,” meşru bir IP tarama web sitesini taklit edecek şekilde tasarlanmıştır.” Bu IP adresi, kurbanları saldırganın sahip olduğu bir Dropbox hesabına yönlendirerek bilmeden kötü amaçlı bir yürütülebilir dosya indirmelerine neden oldu. WsTaskLoad.exe.

İlk yük, Anunak veya Carbanak olarak bilinen bir arka kapı olan son yükü dağıtmak için çok aşamalı bir yürütme sürecini başlattı. Yürütme akışının bir parçası olarak, WsTaskLoad.exe bir dosyayı okudu ve şifresini çözdü. .wav Yükleyici görevi gören dosya. Görünüşte zararsız ses dosyasına gömülü kodlanmış veriyi çıkardı.

BlackBerry’nin saldırganın ağ altyapısına ilişkin analizi, FIN7’nin teslimatı kolaylaştırmak ve güvenliği ihlal edilmiş sistemlere erişimi sürdürmek için kullandığı birbirine bağlı bir alan adları ve proxy sunucuları ağını ortaya çıkardı.