Siber suçlara odaklanan FIN7 (diğer adıyla Carbanak grubu) adlı kuruluş, araştırmacılar tarafından AvNeutralizer (yani AuKill) olarak adlandırılan “EDR öldürücü” aracının etkinliğini garantilemek için başka bir numara daha buldu.
Araç, Windows’un yerleşik sürücüsü TTD Monitor Driver’ı (ProcLaunchMon.sys) Process Explorer sürücüsünün (procexp) güncellenmiş, Windows tarafından güvenilir sürümleriyle birlikte kullanarak, korunan süreçlerin bazı belirli uygulamalarına etkili bir şekilde DoS uygulayabilir.
SentinelOne araştırmacıları, “Bu güncellenmiş sürüm, Nisan 2023’ten itibaren paketlenmiş veya korumasız bir yük olarak fidye yazılımı saldırılarında kullanıldı. Aracı kullanan farklı tehdit aktörlerine rağmen, paketleyici kodu çeşitli kullanımlarda aynıdır ve bu da FIN7’nin AvNeutralizer paketindeki alıcılarına paylaşılan bir karartıcı sağladığını göstermektedir” diyor.
Aracın, FIN7 kümesinin bir parçası olduğundan şüphelendikleri birkaç satıcı/kişi tarafından yeraltı forumlarında satışa sunulduğunu gördüler. Birçok fidye yazılımı grubunun bunu kullandığı görüldü.
FIN7 tarafından kullanılan diğer araçlar ve püf noktaları
Grubun saldırı araç kutusunda ayrıca şunlar yer alıyor:
- Powertrash, gömülü bir PE dosyasını bellekte yansıtıcı bir şekilde yükleyerek kötü amaçlı yükleri sessizce yürüten bir PowerShell betiğidir
- C2 iletişimi için bir arka kapı olan Diceloader (Powertrash tarafından bellekte yüklenir)
- Saldırganın sunucusuna ters SSH tüneli aracılığıyla bağlanan bir SFTP sunucusu kuran ve dosyaları sızdırmak için kullanılan ve yeniden başlatmalardan sağ çıkabilen SSH tabanlı bir arka kapı oluşturan bir betik
- Ticari düzeydeki istismarlardan yararlanan bir pentest aracı olan Core Impact
- FIN7 tarafından halka açık, güvenlik açığı bulunan Microsoft Exchange sunucularını istismar etmek için geliştirilen otomatik bir saldırı sistemi olan Checkmarks
Checkmarks platformu ProxyShell güvenlik açıklarından yararlanıyor ve SQL enjeksiyon saldırıları için bir Auto-SQLi modülüne sahip.
Araştırmacılar, “İlk denemeler başarısız olursa, SQLMap aracı hedefleri olası SQL enjeksiyonu güvenlik açıkları açısından tarar. Bu modül, kurbanın sistemine uzaktan erişim sağlar ve FIN7, sistemi çeşitli durumlara sorunsuz uygulama ve uyarlanabilirlik için uyarlayarak, böylece istismar edilebilir güvenlik açıklarının kapsamını genişletir,” diye paylaştı.
Listelenen araçların bir kısmı sadece FIN7 tarafından kullanılıyor ancak bir kısmı da diğer siber saldırganlar tarafından kullanılıyor.
FIN7 yıllar boyunca
SentinelOne araştırmacıları, “FIN7’nin özellikle güvenlik önlemlerini atlatmak için kullandığı gelişmiş tekniklerdeki sürekli yenilikleri, teknik uzmanlığını sergiliyor” görüşünü dile getirdi.
Grubun faaliyeti, bankaları hedef aldıkları 2013 yılına kadar uzanıyor. O zamandan beri ayrıca:
- Kuruluşları adına SEC dosyalamasıyla ilgilenen hedeflenen çalışanlar
- Finansal bilgileri sızdırmak için misafirperverlik sektörünü hedef aldı
- Sahte güvenlik şirketleri kurdular – Bastion Secure ve Combi Security – BT uzmanlarını işe almak için (onların bundan haberi olmadan) ve onlara suçlu zihniyetli işe alımcılardan daha az ücret ödediler
Son zamanlarda FIN7’nin, hedeflerin makinelerine NetSupport RAT’ı göndermek için kötü amaçlı reklamlardan yararlandığı ve kimlik avı saldırılarında kullanılması muhtemel 4.000’den fazla alan adı kurduğu yönünde raporlar ortaya çıktı.