Ünlü siber suç grubu FIN7, Uç Nokta Algılama ve Yanıt (EDR) çözümlerini atlatmak ve otomatik saldırılar gerçekleştirmek için tasarlanmış yeni araçların geliştirilmesiyle bir kez daha manşetlere çıktı. Bu ifşa, grubun siber suç alanındaki sürekli evrimini ve karmaşıklığını vurguluyor.
Carbanak olarak da bilinen FIN7, en az 2012’den beri aktif olup, konaklama, enerji, finans, yüksek teknoloji ve perakende gibi çeşitli sektörleri hedef alan finansal amaçlı siber saldırılarıyla biliniyor.
Grup başlangıçta finansal dolandırıcılık için Satış Noktası (POS) kötü amaçlı yazılımlarına odaklandı ancak daha sonra fidye yazılımı operasyonlarına yöneldi, REvil ve Conti gibi kötü şöhretli Fidye Yazılımı Hizmeti (RaaS) gruplarıyla ilişki kurdu ve Darkside ve BlackMatter gibi kendi RaaS programlarını piyasaya sürdü.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Son araştırmalar, FIN7’nin AvNeutralizer (AuKill olarak da bilinir) olarak bilinen oldukça uzmanlaşmış bir araç geliştirdiğini ortaya çıkardı. Bu araç, güvenlik çözümlerini bozmak için tasarlanmıştır ve suç dünyasında pazarlanmış olup, birden fazla fidye yazılımı grubu tarafından kullanılmıştır.
FIN7 Hacker’larının EDR Çözümlerini Atlatmak ve Otomatik Saldırılar Gerçekleştirmek İçin Kullandığı Araçlar
1. AvNeutralizer (diğer adıyla AuKill)
FIN7, güvenlik çözümlerini bozmak için özel bir araç geliştirdi. Suç dünyasında pazarlandı ve birçok fidye yazılımı grubu tarafından kullanıldı.
Araç, korumalı işlemlerde hizmet reddi koşulu oluşturarak uç nokta güvenlik çözümlerini devre dışı bırakmak için Windows’un yerleşik sürücüsü ProcLaunchMon.sys’den yararlanır.
2. Güç çöpü
Bellekte gömülü bir PE dosyasını yansıtıcı bir şekilde yüklemek için tasarlanmış, oldukça gizlenmiş bir PowerShell betiği. Bu, FIN7’nin gizlice savunmalardan kaçarak arka kapı yüklerini yürütmesine olanak tanır. Powertrash, diğer kötü amaçlı araçları yüklemek için çeşitli FIN7 saldırılarında kullanılmıştır.
3. Zar Yükleyici (aka Lizar, IceBot)
Saldırganların konumdan bağımsız kod modülleri göndererek sistemi kontrol etmelerine olanak tanıyan bir komut ve kontrol (C2) kanalı kuran minimal bir arka kapı. Genellikle Powertrash yükleyicileri aracılığıyla dağıtılır ve tehlikeye atılmış sistemlere ek modüller yüklemek için kullanılır.
4. Çekirdek Etki
Sömürü faaliyetleri için kullanılan bir penetrasyon testi aracı. Ticari sınıf sömürülerden oluşan bir kütüphane sunar ve sömürülen sistemlerin kontrolünü ele geçirmek için Konumdan Bağımsız Kod (PIC) implantları üretir. FIN7, kampanyalarında Powertrash aracılığıyla teslim edilen Core Impact yükleyicilerini kullanır.
5. SSH tabanlı arka kapı
FIN7 tarafından tehlikeye atılmış sistemlere erişimi sürdürmek için kullanılan, OpenSSH ve 7zip tabanlı bir kalıcılık aracı. Ters SSH tüneli aracılığıyla bir SFTP sunucusu kurarak saldırganların dosyaları gizlice sızdırmasına olanak tanır. Bu araç genellikle hassas bilgileri toplamayı amaçlayan saldırılarda kullanılır.
SentinelLabs, güvenlik çözümlerini devre dışı bırakmak için daha önce görülmemiş bir teknik kullanan yeni bir AvNeutralizer sürümü keşfetti. Windows’un yerleşik sürücüsü ProcLaunchMon.sys’den (TTD Monitor Driver) yararlanır.
EDR kaçınma araçlarına ek olarak, FIN7, özellikle kamuya açık uygulamaları hedef alan otomatik SQL enjeksiyon saldırıları olmak üzere otomatik saldırı yöntemlerini benimsemiştir.
Grup, ProxyShell istismarını kullanarak Microsoft Exchange sunucularındaki güvenlik açıklarının kapsamlı bir şekilde taranmasını ve istismar edilmesini sağlayan Checkmarks adlı bir platform geliştirdi. Bu platform ayrıca, kurban sistemlere uzaktan erişim sağlayan SQL Injection saldırıları için bir Auto-SQLi modülü de içeriyor.
FIN7’nin operasyonları, kimliklerini gizlemek ve yeraltı pazarlarında suç faaliyetlerini sürdürmek için birden fazla takma ad kullanmalarıyla dikkat çekiyor. Grup, Black Basta, Cl0p, DarkSide ve LockBit gibi çeşitli fidye yazılımı aileleriyle ilişkilendirildi ve bu da diğer siber suçlu varlıklarla kapsamlı erişimleri ve iş birlikleri olduğunu gösteriyor.
Grubun taktik, teknik ve prosedürlerini (TTP’ler) yenileme ve uyarlama becerisi, onları siber güvenlik alanında kalıcı bir tehdit haline getiriyor.
FIN7’nin son kampanyaları, hedef ağlarda ilk tutunma noktalarını elde etmek için Carbanak arka kapısını kullanarak ve yerel ikili dosyalar, betikler ve kütüphaneler (LOLBAS) kullanarak ABD otomotiv sektörünü hedef aldı.
Grubun ayrıca, NetSupport RAT ve DiceLoader kötü amaçlı yazılımlarını dağıtmak için kötü amaçlı Google Ads kullandığı da gözlemlendi; bu, saldırı vektörlerindeki çok yönlülüklerini ve becerikliliklerini daha da kanıtlıyor.
FIN7’nin güvenlik önlemlerini aşmak ve otomatik saldırılar gerçekleştirmek için gelişmiş araçlar geliştirmedeki sürekli yenilikçiliği, grubun teknik uzmanlığını ve uyum yeteneğini ortaya koyuyor.
Birden fazla takma ad kullanmaları ve diğer siber suçlu varlıklarla iş birliği yapmaları, atıf çabalarını karmaşıklaştırır ve gelişmiş operasyonel stratejilerini gösterir. FIN7 gelişmeye devam ederken, kuruluşların bu tür gelişmiş tehdit aktörlerinin oluşturduğu riskleri azaltmak için dikkatli olmaları ve kapsamlı güvenlik önlemleri almaları hayati önem taşımaktadır.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo