Rusya kökenli, finansal motivasyonlu bir tehdit grubu olan FIN7, yaşanan aksiliklere ve tutuklamalara rağmen taktiklerini geliştirmek ve uyarlamak konusunda ısrarcı bir kararlılık sergiliyor; gerçek kimliğini gizlemek ve suç operasyonlarını sürdürmek için birden fazla takma ad kullanıyor.
2012’den beri faaliyet gösteren grup, başlangıçta finansal dolandırıcılık için satış noktası kötü amaçlı yazılımlarına odaklanmıştı ancak 2020’de fidye yazılımı operasyonlarına yönelerek, tanınmış fidye yazılımı hizmeti gruplarıyla ortaklık kurdu ve kendi bağımsız programlarını başlattı.
FIN7 Yeraltı Operasyonları
SentinelOne’dan yeni bir araştırma, FIN7’nin yeraltı suç forumlarındaki son faaliyetlerini ortaya çıkardı. Grup, araçlarını ve hizmetlerini çeşitli sahte takma adlar altında pazarlıyor. Bu araçlar arasında, grup en belirgin olarak çoğu güvenlik çözümünü devre dışı bırakmak için tasarlanmış AvNeutralizer (ayrıca AuKill olarak da bilinir) olarak etiketlenen oldukça uzmanlaşmış bir araç satıyor.
AvNeutralizer aracının reklamları, çeşitli kullanıcı adları altında birçok farklı forumda göründü ve 4.000 ila 15.000 dolar arasında değişen fiyatlarla satışa sunuldu. Araştırmacılar, aracın çeşitli fidye yazılımı grupları tarafından yaygın olarak benimsenmesinin, artık tek bir tehdit aktörünün operasyonlarına özel olmadığını gösterdiğini belirtiyor.
Araştırmacılar, “goodsoft”, “lefroggy”, “killerAV” ve “Stupor” gibi çeşitli kullanıcı adları tespit etti ve bunların, “PentestSoftware” olarak etiketlenen bir istismar sonrası çerçeve gibi araçlarını ve hizmetlerini tanıtmak için FIN7 siber suç grubuyla ilişkilendirildiğini öne sürdü.
Grubun farklı forumlarda birden fazla kimlik kullanmasının, yasadışı faaliyetlerini sürdürürken gerçek kimliğini gizlemek için bir strateji olduğu düşünülüyor.
FIN7 Cephaneliği Operasyonlarda Kullanıldı
FIN7 siber suç grubunun karmaşık siber saldırı operasyonlarını yürütmedeki başarısı, aşağıdakileri içeren çok yönlü bir araç setine dayanmaktadır:
- Powertrash: Kötü amaçlı yazılımları belleğe yansıtarak yüklemek ve tespit edilmekten kaçınmak için kullanılan, oldukça karmaşık bir PowerShell betiği.
- Diceloader: Saldırganların komuta ve kontrol kanalları kurmasına ve ek modüller yüklemesine olanak tanıyan minimal bir arka kapı.
- SSH tabanlı arka kapı: Tehlikeye atılmış sistemlere erişimi sürdürmek için OpenSSH ve 7zip kullanan bir kalıcılık mekanizması.
- Çekirdek Etki: Kötü amaçlı faaliyetler için yeniden tasarlanmış ticari bir penetrasyon testi aracı.
- AvNeutralizer: Güvenlik çözümlerini devre dışı bırakmak için özel bir araç.
Powertrash örneklerinin analizi, FIN7’nin kötü amaçlı yazılım evriminin zaman çizelgesini ortaya koydu ve 2021’in başlarında Carbanak’tan Diceloader’a (Lizar olarak da bilinir) geçişi gösterdi. Grup ayrıca, FIN7 ile ilişkili hesapların yazılımın kırılmış kopyalarını aktif olarak aradığı gözlemlenen yeraltı forum etkinliğiyle korelasyon içinde, Core Impact pentesting aracını da cephaneliğine dahil etti.
FIN7’nin altyapısı, araştırmacıların çeşitli ülkelerde ve barındırma sağlayıcılarında takip ettiği Diceloader için komuta ve kontrol sunucularını içerir. Bir örnekte, ifşa edilen bir sunucu, grubun gizli dosya sızdırma için SSH tabanlı bir arka kapı kullandığını ortaya çıkardı.
Grubun Core Impact gibi ticari araçları benimsemesi, hedef ağları tehlikeye atmak için karmaşık ve tespit edilmesi zor yöntemler kullanma konusundaki kararlılığını gösteriyor.
Yeni araştırma, FIN7’nin operasyonlarındaki sürekli uyarlanabilirlik ve devam eden evrimine ışık tutuyor. Bunlara, otomatik SQL enjeksiyon saldırıları kullanılarak halka açık sunucuların hedeflenmesi gibi otomatik saldırı yöntemlerinin benimsenmesi de dahil.
Ayrıca grubun AvNeutralizer gibi bağımsız olarak geliştirilen uzmanlaşmış araçların çeşitli yeraltı suç forumlarında geliştirilmesi ve satışı, grubun diğer siber suçlular arasındaki etki ve nüfuzunu artırırken teknik uzmanlığını da ortaya koyuyor.
Fin7’nin çoklu kimlik kullanımı ve diğer tehdit aktörü gruplarıyla aktif işbirliği, araştırmacıların operasyonlarını atfetmesini çok daha zorlaştırıyor. Araştırmacılar, araştırmanın FIN7’nin sürekli gelişen saldırı taktiklerini anlamak ve bunlara karşı koruma sağlamak için daha fazla çabaya ilham vereceğini umduklarını söyledi.