FIN7 Group, Dark Web Forumlarında Güvenlik Atlatma Aracının Reklamını Yapıyor


Güvenlik-Atlatma Aracı

Finansal amaçlı tehdit aktörü FIN7’nin, Black Basta gibi fidye yazılımı grupları tarafından kullanıldığı bilinen bir aracın reklamını yapmak için çeşitli yeraltı forumlarında birden fazla takma ad kullandığı gözlemlendi.

Siber güvenlik şirketi SentinelOne, The Hacker News ile paylaştığı raporda, “FIN7 tarafından güvenlik çözümlerini bozmak için geliştirilen son derece özel bir araç olan AvNeutralizer (diğer adıyla AuKill), yeraltı suç dünyasında pazarlandı ve çok sayıda fidye yazılımı grubu tarafından kullanıldı” dedi.

Rus ve Ukrayna kökenli bir e-suç grubu olan FIN7, en azından 2012’den beri ısrarcı bir tehdit oluşturuyor; başlangıçta satış noktası (PoS) terminallerini hedef almaktan, artık faaliyette olmayan REvil ve Conti gibi çeteler için fidye yazılımı iştiraki olarak hareket etmeye ve ardından kendi fidye yazılımı hizmeti (RaaS) programları DarkSide ve BlackMatter’ı piyasaya sürmeye kadar çeşitli adımlar attı.

Carbanak, Carbon Spider, Gold Niagara ve Sangria Tempest (eski adıyla Elbrus) adlarıyla da takip edilen tehdit aktörü, penetrasyon testi bahanesiyle fidye yazılımı planlarına habersiz yazılım mühendislerini dahil etmek için Combi Security ve Bastion Secure gibi şirketler kurma konusunda geçmişe sahip.

Siber güvenlik

Yıllar geçtikçe FIN7, bazı üyelerinin tutuklanmasına ve cezalandırılmasına rağmen kötü amaçlı yazılım cephaneliğini yeniden düzenleyerek (POWERTRASH, DICELOADER (diğer adıyla IceBot, Lizar veya Tirion) ve POWERTRASH yükleyicisi aracılığıyla sunulan Core Impact adlı bir sızma testi aracı) yüksek düzeyde uyarlanabilirlik, karmaşıklık ve teknik uzmanlık gösterdi.

Silent Push’ın yakın zamanda yayınladığı bir rapora göre, grubun binlerce “kabuk” etki alanı kullanarak meşru medya ve teknoloji işletmelerini taklit ederek fidye yazılımları ve diğer kötü amaçlı yazılım ailelerini dağıtmak için yürüttüğü büyük ölçekli kimlik avı kampanyaları bunu kanıtlıyor.

Alternatif olarak, bu kabuk alan adları zaman zaman kullanıcıları mülk yönetim portalları gibi görünen sahte oturum açma sayfalarına göndermek için geleneksel bir yönlendirme zincirinde kullanılmıştır.

Bu tiposquat versiyonları Google gibi arama motorlarında reklamı yapılarak, popüler yazılım arayan kullanıcıları bunun yerine kötü amaçlı yazılım içeren bir çeşidi indirmeye kandırıyor. Hedeflenen araçlardan bazıları 7-Zip, PuTTY, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text ve Node.js’dir.

FIN7’nin kötü amaçlı reklam taktiklerini kullanmasının daha önce hem eSentire hem de Malwarebytes tarafından Mayıs 2024’te vurgulandığını ve saldırı zincirlerinin NetSupport RAT’ın dağıtımına yol açtığını belirtmekte fayda var.

Silent Push, “FIN7, çok sayıda ana bilgisayarda, ancak öncelikli olarak Ukrayna ve Avrupa genelinde DDoS saldırılarıyla bağlantısı bulunan, popüler bir kurşun geçirmez barındırma sağlayıcısı olan Stark Industries’de büyük miktarda özel IP kiralıyor” dedi.

SentinelOne’ın son bulguları, FIN7’nin AvNeutralizer’ın satışını tanıtmak için yalnızca siber suç forumlarında çeşitli kimlikler kullanmadığını, aynı zamanda aracı yeni yeteneklerle doğaçlama olarak geliştirdiğini gösteriyor.

Bunun sebebi, Ocak 2023 itibarıyla birden fazla fidye yazılımı grubunun, o zamana kadar yalnızca Black Basta grubu tarafından kullanılan EDR bozulma programının güncellenmiş sürümlerini kullanmaya başlamasıdır.

SentinelLabs araştırmacısı Antonio Cocomazzi, The Hacker News’e yaptığı açıklamada, AvNeutralizer’ın yeraltı forumlarında reklamının, ek bir kanıt olmadan FIN7 tarafından benimsenen yeni bir kötü amaçlı yazılım hizmeti (MaaS) taktiği olarak değerlendirilmemesi gerektiğini söyledi.

Cocomazzi, “FIN7’nin kendi operasyonları için sofistike araçlar geliştirme ve kullanma geçmişi var,” dedi. “Ancak, diğer siber suçlulara araç satmak, çeşitlendirme ve ek gelir elde etme yöntemlerinin doğal bir evrimi olarak görülebilir.”

“Tarihsel olarak, FIN7 gelir elde etmek için yeraltı pazar yerlerini kullanmıştır. Örneğin, DoJ, 2015’ten beri FIN7’nin 16 milyondan fazla ödeme kartına ait verileri başarıyla çaldığını ve bunların çoğunun yeraltı pazar yerlerinde satıldığını bildirdi. Bu, fidye yazılımı öncesi dönemde daha yaygın olsa da, AvNeutralizer’ın mevcut reklamı, stratejilerinde bir değişim veya genişlemeye işaret ediyor olabilir.”

“Bu, günümüz EDR çözümlerinin önceki AV sistemlerine kıyasla sağladığı artan korumalardan kaynaklanıyor olabilir. Bu savunmalar iyileştikçe, AvNeutralizer gibi bozulma araçlarına olan talep özellikle fidye yazılımı operatörleri arasında önemli ölçüde arttı. Saldırganlar artık bu korumaları aşmada daha zorlu zorluklarla karşı karşıya kalıyor ve bu da bu tür araçları oldukça değerli ve pahalı hale getiriyor.”

AvNeutralizer’ın güncellenmiş sürümü ise anti-analiz tekniklerini kullanıyor ve en önemlisi, güvenlik çözümlerinin işleyişine müdahale etmek ve tespitten kaçınmak için Process Explorer sürücüsüyle birlikte “ProcLaunchMon.sys” adlı yerleşik bir Windows sürücüsünü kullanıyor. Aracın Nisan 2022’den beri aktif olarak geliştirildiği düşünülüyor.

Bu yaklaşımın benzer bir versiyonu Lazarus Grubu tarafından da kullanılmış ve bu, Windows makinelerinde varsayılan olarak bulunan savunmasız bir sürücüyü silahlandırarak geleneksel bir Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısının ötesine geçtiği için daha da tehlikeli hale gelmiştir.

Dikkat çeken bir diğer güncelleme ise FIN7’nin Checkmarks platformuyla ilgili. Bu platform, kamuya açık uygulamaları istismar etmek için otomatik bir SQL enjeksiyon saldırı modülünün eklenmesiyle değiştirildi.

“FIN7, kampanyalarında otomatik SQL enjeksiyon saldırıları aracılığıyla kamuya açık sunucuları hedef alan otomatik saldırı yöntemlerini benimsedi,” dedi SentinelOne. “Ek olarak, AvNeutralizer gibi özel araçların geliştirilmesi ve suç yeraltı forumlarında ticarileştirilmesi grubun etkisini önemli ölçüde artırıyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link