FIN7 koristi Google reklame za NetSupport RAT isporuku

AUTOR ·

FIN7, ozloglašena ruska grupa zlonamjernih aktera koja je aktivna od 2013. godine, nastavlja da predstavlja značajnu prijetnju organizacijama širom sveta. Sigurnosna kompanija eSentire je primijetila da je posljednjih mjeseci došlo je do porasta FIN7 napada, što je dovelo do značajnih finansijskih gubitaka, ugrožavanja podataka i reputacije pogođenih preduzeća. U nastavku će biti riječi o najnovijim taktikama koje koristi FIN7, fokusirajući se na njihovu upotrebu Google reklama (Google Ads) za distribuciju datoteka za instalaciju MSIX aplikacija koje sadrže NetSupport RAT.

FIN7 NetSupport RAT

FIN7 koristi Google reklame za NetSupport RAT isporuku; Source: Bing Image Creator

ZLOUPOTREBA GOOGLE REKLAMA

Najnovija taktika grupe FIN7 uključuje iskorištavanje Google reklama kao dijela njihovog lanca infekcije. U aprilu 2023. godine sigurnosni istraživači su prijavili povećanje FIN7 operacija u kojima su zlonamjerni akteri koristili naoružane Google reklame prerušene u poznate brendove da bi ubacili MSIX korisni teret. Ove zlonamjerne datoteke su distribuirane pod nazivima “SOFTWARE SP Z O O” i “SOFTWARE BYTES LTD”.

 

Funkcionisanje

MSIX datoteke su sadržale tri komponente: legitimni certifikat, PowerShell skriptu i izvršnu datoteku. Kada je odgovor servera sadržao određeni string (“usradm”), on je pokretao preuzimanje NetSupport RAT korisnog tereta preko određenih URL formata i korisničkih agenata. Preuzeta arhiva je zatim raspakovana u C:\ProgramData\netsupport, gdje je FIN7 izvršava svoj RAT izvršnu datoteku kao dio njihovog višestepenog lanca infekcije.

 

“Incidenti u kojima je FIN7 iskorišćavao imena pouzdanih brendova i koristio obmanjujuće internet oglase za distribuciju NetSupport RAT praćenog DiceLoader-om naglašavaju stalnu prijetnju, posebno zloupotrebu potpisanih MSIX datoteka od strane ovih aktera, što se pokazalo efikasnim u njihovim šemama.”

 – eSentire –

 

U drugom incidentu, korisnik je nesvjesno preuzeo lažnu MSIXMeetGo” instalaciju koja je ubacila NetSupport RAT. Nekoliko sati kasnije, zlonamjerni akter je iskoristio RAT za povezivanje i koristio csvde.exe za izvoz Active Direćtory podataka. Zatim je došlo do preuzimanja “Adobe_017301.zip” arhive koja sadrži svchostc.exe (preimenovane u python.exe) i svchostc.py (Python korisni teret). Nakon obavljenog izviđanja, napadač je napravio zakazani zadatak da zadrži svchostc.py, koji je dešifrovao i ubacio DiceLoader zlonamjerni softver u memoriju, uspostavljajući komunikaciju sa XOR šifrovanim C2 ugrađenim u njegov odjeljak sa podacima.

 

Uticaj

Napadi FIN7 predstavljaju značajnu prijetnju organizacijama zbog svoje sofisticiranosti i potencijala za značajne finansijske gubitke i štetu po reputaciju. Grupa je pokazala sposobnost da se brzo prilagodi novim bezbjednosnim mjerama, zbog čega je od suštinskog značaja za preduzeća da održavaju robusne strategije sajber bezbednosti.

Upotreba Google reklama kao vektora distribucije je posebno zabrinjavajuća, jer su ovi oglasi često ciljani na korisnike na osnovu njihovih interesovanja ili istorije pregledanja, zbog čega je veća vjerovatnoća da će korisnik kliknuti na naizgled legitimne oglase. Pored toga, MSIX datoteke su dizajnirane za jednostavnu instalaciju i primjenu u mrežama preduzeća, pružajući napadačima efikasan način za distribuciju zlonamjernog softvera nakon što steknu uporište u sistemu.

 

FIN7

FIN7 je veoma aktivna grupa zlonamjernih aktera koja djeluje najmanje od 2013. godine i postala je poznata po svojim opsežnim aktivnostima u oblasti sajber kriminala. Primarni fokus grupe bio je na finansijskoj dobiti, ali je nedavno proširila svoj arsenal na ransomware napade. FIN7 je poznat po svojim sofisticiranim taktikama, uključujući iskorištavanje lanaca nabavke softvera, distribuciju zlonamjernih USB medija i saradnju sa drugim hakerskim grupama.

Početni pristup grupe uključuje pažljivo biranje kompanija visoke vrijednosti iz grupe već kompromitovanih sistema preduzeća. Jednom izabrane, ove kompanije su prinuđene da plaćaju velike otkupnine kako bi povratile svoje podatke ili se suočile sa jedinstvenim načinima monetizacije podataka i daljinskog pristupa. FIN7 se takođe pripisuje špijunskoj kampanji pod nazivom Carbanak i bila je u interakciji sa drugim poznatim hakerskim grupama kao što su LockBit, Darkside, Revil i MAZE.

Metode FIN7 za početni pristup su se vremenom razvijale. Na početku, grupa je koristila phishing kampanje za isporuku Loadout, Carbanak ili Griffon softvera za preuzimanje na ciljane mreže. Međutim, FIN7 je od tada prešao na korišćenje ukradenih akreditiva za početni pristup. Grupa je takođe pokušala da primjereni zlonamjerne softver alate direktno na mrežu žrtve.

FIN7 koristi nekoliko naprednih alata u svojim napadima, uključujući Powerplant, multifunkcionalni backdoor i Beacon, koji pruža dodatni pristup unutar kompromitovanih mreža. Ovi alati omogućavaju FIN7 da se kreće bočno unutar ciljanih mreža, krade osjetljive informacije i vrši ransomware napade.

Žrtve FIN7 se kreću u rasponu od proizvođača hrane i pružalaca kritične infrastrukture do zdravstvenih i finansijskih firmi. Grupa je izazvala značajne finansijske gubitke za ove organizacije, a neke su pretrpjele milionske štete. Iako je primarni cilj FIN7 direktna krađa finansijskih informacija, ona će takođe prodavati ukradene osjetljive informacije na podzemnim tržištima ili ih ponovo koristiti u predstojećim ransomware napadima.

FIN7 se u prošlosti suočio sa akcijama za sprovođenje zakona, a nekoliko članova grupe je uhapsio FBI 2018. godine i osuđeni su na deset godina zatvora. Međutim, grupa je nastavila da raste i procjenjuje se da sada ima desetine aktivnih članova. Uprkos tome, FIN7 ostaje značajna prijetnja organizacijama širom sveta, posebno onima u finansijskom sektoru.

 

ZAKLJUČAK

FIN7 je visoko kvalifikovana finansijski motivisana grupa za sajber napade, koja je odgovorna za porast zlonamjernih aktivnosti usmjerenih na organizacije širom sveta. Njihova najnovija taktika uključuje iskorištavanje Google reklama i MSIX datoteka za distribuciju NetSupport RAT tereta kao dio njihovog višestepenog lanca infekcije. Ovi napadi predstavljaju značajnu prijetnju zbog potencijala za značajne finansijske gubitke, povrede podataka i štetu reputaciji. Da bi se odbranile od ovih vrsta sofisticiranih prijetnji, organizacije moraju da održavaju robusne strategije sajber bezbednosti, proaktivne mogućnosti otkrivanja prijetnji i saradnju unutar industrije.

 

ZAŠTITA

Da bi se zaštitile od napada FIN7 grupe u situaciji opisanoj iznad, organizacije mogu preduzeti nekoliko mjera:

  1. Primjenjivati snažne bezbjednosne politike i procedure, uključujući zaštitne zidove, sisteme za otkrivanje upada (eng. intrusion detection systems – IDS), antivirusni softver i kontrole pristupa kako bi se spriječio neovlašteni pristup i ugrožavanje podataka,
  2. Koristiti napredne izvore podataka i alate za obavještavanje o prijetnji kao što su rješenja za upravljanje bezbjednosnim informacijama i događajima (eng. security information and event management – SIEM)  ili softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) kako bi se otkrile prijetnje i odgovorilo na njih u realnom vremenu,
  3. Koristiti dijeljenje informacija o prijetnjama sa drugim organizacijama i agencijama za sajber bezbjednost da bi se ostalo informisanim o novim prijetnjama i najboljim praksama za odbranu,
  4. Koristiti softver za blokiranje oglasa ili koristiti bezbjedni internet mrežni prolaz (eng. gateway) koji može da filtrira poznate zlonamjerne oglase, posebno one prerušene u poznate brendove,
  5. Osigurati da su svi softveri, operativni sistemi i aplikacije ažurirani sa najnovijim bezbjednosnim ispravkama i ažuriranjima kako bi se na minimum svele ranjivosti koje napadači mogu iskoristiti,
  6. Obučiti zaposlene kako da identifikuju elektronske poruke za “pecanje”, sumnjive veze ili oglase koji mogu da sadrže zlonamjerni softver ili vode do ugroženih internet lokacija,
  7. Redovno pregledati zakazane zadatke na sistemima i uklonite sve neovlaštene ili sumnjive zadatke,
  8. Implementirati autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za sve kritične naloge i aplikacije kao dodatni nivo zaštite od neovlaštenog pristupa.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.