据称,以经济为目的的威胁行为者 FIN7 在多个地下论坛上使用多个假名,可能是为了宣传一种安全规避工具,该工具已被 AvosLocker、Black Basta、BlackCat、LockBit 和 Trigona 等勒索软件团体使用。
网络安全公司 SentinelOne在与 The Hacker News 分享的一份报告中表示: “AvNeutralizer(又名AuKill)是 FIN7 开发的用于篡改安全解决方案的高度专业化工具,已在地下犯罪市场销售,并被多个勒索软件团体使用。”
FIN7 是一个源自俄罗斯和乌克兰的电子犯罪集团,自 2012 年以来一直是一个持续的威胁,其最初的目标是销售点 (PoS) 终端,后来转变为充当 REvil 和 Conti 等现已不复存在的团伙的勒索软件附属机构,之后又推出了自己的勒索软件即服务 (RaaS) 程序 DarkSide 和 BlackMatter。
该威胁行为者还以 Carbanak、Carbon Spider、Gold Niagara 和 Sangria Tempest(以前称为 Elbrus)等名称进行追踪,曾设立Combi Security 和 Bastion Secure 等幌子公司,以渗透测试为借口招募不知情的软件工程师参与勒索软件计划。
多年来,FIN7 通过重组其恶意软件库——POWERTRASH 、 DICELOADER (又名IceBot、Lizar 或Tirion)以及通过POWERTRASH加载器提供的渗透测试工具Core Impact ,展示了高度的适应性、复杂性和技术专长——尽管其部分成员遭到逮捕和判刑。
根据 Silent Push 最近发布的报告,该组织通过部署数千个模仿合法媒体和技术企业的“shell”域名,开展大规模网络钓鱼活动来传播勒索软件和其他恶意软件家族,这也证明了这一点。
另外,这些 shell 域名偶尔会在传统的重定向链中使用,将用户发送到伪装成物业管理门户的欺骗登录页面。
这些域名抢注版本会在 Google 等搜索引擎上做广告,诱骗搜索热门软件的用户下载带有恶意软件的版本。被攻击的工具包括 7-Zip、PuTTY、AIMP、Notepad++、Advanced IP Scanner、AnyDesk、pgAdmin、AutoDesk、Bitwarden、Rest Proxy、Python、Sublime Text 和 Node.js。
值得注意的是,FIN7 使用恶意广告策略的行为早在2024 年 5 月就被 eSentire 和 Malwarebytes 重点提及,攻击链导致了 NetSupport RAT 的部署。
Silent Push指出:“FIN7 在多个主机上租用了大量专用 IP,但主要租用在Stark Industries上,这是一家流行的防弹托管服务提供商,与乌克兰和整个欧洲的 DDoS 攻击有关。”
SentinelOne 的最新发现表明,FIN7 不仅在网络犯罪论坛上使用多个角色来促进 AvNeutralizer 的销售,而且还对该工具进行了新功能改进。
这是基于这样一个事实:自 2023 年 1 月起,多个勒索软件组织开始使用 EDR 损害程序的更新版本,而在此之前,该程序仅由Black Basta 组织使用。
SentinelLabs 研究员 Antonio Cocomazzi 告诉 The Hacker News,在没有更多证据的情况下,AvNeutralizer 在地下论坛上的广告不应被视为 FIN7 采用的新的恶意软件即服务 (MaaS) 策略。
“FIN7 一直致力于开发和使用复杂工具来开展自己的业务,”Cocomazzi 说道。“然而,向其他网络犯罪分子出售工具可以看作是他们实现多样化和创造额外收入的手段的自然演变。”
“从历史上看,FIN7 一直利用地下市场来获取收入。例如,美国司法部报告称,自 2015 年以来,FIN7 成功窃取了超过 1600 万张支付卡的数据,其中许多都在地下市场上出售。虽然这在勒索软件时代之前更为常见,但 AvNeutralizer 目前的广告可能预示着其战略的转变或扩张。”
“这可能是由于与以前的 AV 系统相比,如今的 EDR 解决方案提供的保护不断增加。随着这些防御措施的改进,对 AvNeutralizer 等损害工具的需求显著增长,尤其是在勒索软件运营商中。攻击者现在在绕过这些保护方面面临更严峻的挑战,这使得此类工具非常有价值且昂贵。”
就其本身而言,更新后的 AvNeutralizer 版本采用了反分析技术,最重要的是,它利用名为“ ProcLaunchMon.sys ”的 Windows 内置驱动程序与Process Explorer驱动程序结合来篡改安全解决方案的功能并逃避检测。据信该工具自 2022 年 4 月以来一直在积极开发中。
Lazarus Group 也使用了类似版本的方法,这使得它更加危险,因为它通过将 Windows 机器中默认存在的易受攻击的驱动程序武器化,超越了传统的自带易受攻击驱动程序 (BYOVD) 攻击。
另一个值得注意的更新涉及 FIN7 的Checkmarks 平台,该平台已被修改为包含一个自动 SQL 注入攻击模块,用于利用面向公众的应用程序。
SentinelOne 表示:“FIN7 在其攻击活动中采用了自动攻击方法,通过自动 SQL 注入攻击瞄准面向公众的服务器。此外,它在犯罪地下论坛中开发和商业化 AvNeutralizer 等专用工具,大大增强了该组织的影响力。”