Fin7 olarak bilinen finansal olarak motive olmuş tehdit oyuncusu, Anubis adı verilen Python tabanlı bir arka kapıya (aynı adı taşıyan bir Android bankacılık Truva atı ile karıştırılmamalıdır), onlara tehlikeye atılmış Windows sistemlerine uzaktan erişim sağlayabilir.
İsviçre siber güvenlik şirketi Protaft, kötü amaçlı yazılımın teknik bir raporunda, “Bu kötü amaçlı yazılım, saldırganların uzak kabuk komutlarını ve diğer sistem işlemlerini yürütmelerine izin vererek enfekte bir makine üzerinde tam kontrol sağlıyor.” Dedi.
Karbon Örümcek, Elbrus, Gold Niagara, Sangria Tempest ve Savage Ladybug olarak da adlandırılan FIN7, başlangıç erişim ve veri söndürme elde etmek için sürekli gelişen ve genişleyen kötü amaçlı yazılım aileleri ile bilinen bir Rus siber suç grubudur. Son yıllarda, tehdit aktörünün bir fidye yazılımı iştirakine geçtiği söyleniyor.
Temmuz 2024’te grup, para kazanma stratejisini çeşitlendirme girişiminde güvenlik araçlarını sonlandırabilen Aukill (AKA Avneutralizer) adlı bir aracı reklam vermek için çeşitli çevrimiçi takma adlar kullanılarak gözlendi.
Anubis’in, kurbanları genellikle tehlikeye atılan SharePoint sitelerinde barındırılan yükü yürütmeye ikna eden Malspam kampanyaları aracılığıyla yayıldığına inanılıyor.
Bir ZIP arşivi şeklinde teslim edilen enfeksiyonun giriş noktası, ana harap yükü doğrudan bellekte şifresini çözmek ve yürütmek için tasarlanmış bir Python komut dosyasıdır. Başlatıldıktan sonra, arka kapı, bir TCP soketi üzerinden bir uzak sunucuyla iletişim kurar.
Sunucudan gelen yanıtlar, Base64 kodlu, ana bilgisayarın IP adresini toplamasına/indirmesine, geçerli çalışma dizinini değiştirmesine/indirmesine, çevre değişkenlerini kapmak, Windows kayıt defterini değiştirmesine, DLL dosyalarını PythonMemoryModule kullanarak belleğe yüklemesine ve kendisini sonlandırmasına izin verir.
ANUBIS’in bağımsız bir analizinde, Alman güvenlik şirketi GDATA, Backdoor’un kurban sisteminde bir kabuk komutu olarak operatör tarafından sağlanan yanıtları çalıştırma yeteneğini de desteklediğini söyledi.
ProDaft, “Bu, saldırganların bu özellikleri doğrudan enfekte olmuş sistemde saklamadan anahtarlama, ekran görüntüleri alma veya şifreleri çalma gibi eylemler yapmalarını sağlar.” Dedi. “Arka kapıyı olabildiğince hafif tutarak, daha fazla kötü amaçlı faaliyet yürütme esnekliğini korurken tespit riskini azaltırlar.”