据观察,近日有名为 FIN7 的威胁行为者在多个地下论坛上使用虚假用户名大肆宣传安全绕过工具,这些工具都曾被 Black Basta 等勒索软件组织使用过。
AvNeutralizer(又名 AuKill)是 FIN7 开发的一种高度专业化的工具,用于篡改安全解决方案,已在地下犯罪组织中进行销售,并被多个勒索软件组织使用。
FIN7 是一个源于俄罗斯和乌克兰的电子犯罪团伙,至少从 2012 年开始就一直是一个持续性威胁,最初只针对销售点(PoS)终端攻击,目前已转变为充当 REvil 和 Conti 等现已解散团伙的勒索软件附属机构,之后又推出了自己的勒索软件即服务(RaaS)项目 DarkSide 和 BlackMatter。
该威胁行为者还以 Carbanak、Carbon Spider、Gold Niagara 和 Sangria Tempest(前 Elbrus)等名称进行追踪,其前科包括成立 Combi Security 和 Bastion Secure 等虚假公司,以渗透测试为借口招募不知情的软件工程师参与勒索软件计划。
多年来,FIN7 通过重新组合其恶意软件库POWERTRASH、DICELOADER(又名 IceBot、Lizar 或 Tirion),以及通过 POWERTRASH 加载器交付的名为 Core Impact 的渗透测试工具),展示了过人的适应性、复杂性和技术专长,尽管其部分成员已被逮捕和判刑。
根据 Silent Push 最近的一份报告,该组织通过部署数千个模仿合法媒体和技术企业的 “空壳 ”域名来发送勒索软件和其他恶意软件系列,从而开展了大规模的网络钓鱼活动。
另外,这些空壳域名偶尔也会被用于传统的重定向链,将用户发送到伪装成物业管理门户网站的欺骗性登录页面。
比如在在谷歌等搜索引擎上做广告,诱使搜索流行软件的用户下载带有恶意软件的变种。目标工具包括 7-Zip、PuTTY、AIMP、Notepad++、Advanced IP Scanner、AnyDesk、pgAdmin、AutoDesk、Bitwarden、Rest Proxy、Python、Sublime Text 和 Node.js。
值得注意的是,此前 eSentire 和 Malwarebytes 曾在今年5 月强调过 FIN7 使用恶意广告策略的情况,其攻击链导致了 NetSupport RAT 的部署。
Silent Push 指出:FIN7 在许多主机上租用了大量专用 IP,但主要是在 Stark Industries 上,这是一家流行的防弹主机提供商,曾与乌克兰和整个欧洲的 DDoS 攻击有关。
SentinelOne 的最新调查结果显示,FIN7 不仅在网络犯罪论坛上使用多个虚假用户名来推广 AvNeutralizer 的销售,还对该工具进行了改进,增加了新的功能。
这是因为从 2023 年 1 月起,多个勒索软件组织开始使用 EDR 减损程序的更新版本,而在此之前,该程序一直由 Black Basta 组织独家使用。
SentinelLabs 研究员Antonio Cocomazzi表示,在没有更多证据的情况下,不应将 AvNeutralizer 在地下论坛上的广告视为 FIN7 采用的一种新的恶意软件即服务(MaaS)策略。
FIN7 一直在开发和使用复杂的工具以为自己的行动提供便利,然而向其他网络犯罪分子出售工具可以被看作是他们实现多样化和创造额外收入的方法的自然演变。
FIN7很善于利用地下市场创收。例如,司法部报告称,自 2015 年以来,FIN7 成功窃取了 1600 多万张支付卡的数据,其中许多都在地下市场出售。虽然这种情况在前ransomware时代较为常见,但目前AvNeutralizer的广告可能预示着他们的策略发生了转变或扩大。
这可能是由于与以前的反病毒系统相比,如今的电子数据删除解决方案提供了越来越多的保护。随着这些防御能力的提高,对 AvNeutralizer 等减损工具的需求也大幅增长,尤其是勒索软件运营商。攻击者现在在绕过这些保护措施方面面临着更严峻的挑战,这使得这类工具变得非常有价值和昂贵。
就其本身而言,AvNeutralizer 的更新版本采用了反分析技术,最重要的是,它利用名为 “ProcLaunchMon.sys ”的 Windows 内置驱动程序和进程资源管理器驱动程序来篡改安全解决方案的功能并逃避检测。据信,该工具自 2022 年 4 月以来一直在积极开发中。
Lazarus Group 也使用了类似版本的方法,它超越了传统的 “自带漏洞驱动程序”(BYOVD)攻击,将 Windows 机器默认存在的易受影响的驱动程序作为武器,因此更加危险。
另一个值得注意的更新涉及 FIN7 的 Checkmarks 平台,该平台已被修改为包含一个自动 SQL 注入攻击模块,用于利用面向公众的应用程序。
SentinelOne表示:FIN7在其活动中采用了自动化的攻击方法,希望通过自动化SQL注入的方式对公众的服务器实施攻击。此外,他们还在地下犯罪论坛中开发并商业化了 AvNeutralizer 等专用工具,极大地增强了该组织的影响力。
