ارتباط هکرهای FIN7 با حملات زنجیره تأمین نرمافزار و استفاده مجدد از رمز عبور
اخبار داغ فناوری اطلاعات و امنیت شبکه
تحقیقات جدید نشان میدهد که گروه بدنام جرایم سایبری معروف به FIN7، مسیرهای دسترسی اولیه خود را تنوع بخشید و تغییر داده تا زنجیره تأمین نرمافزار به خطر انداخته و از اعتبارنامههای سرقت شده سواستفاده کند.
شرکت Mandiant در تحلیلی در روز دوشنبه گفت: «اخاذی از سرقت داده یا استقرار باجافزار به دنبال فعالیتهای منتسب به FIN7 در چندین سازمان، و همچنین همپوشانیهای فنی، نشان میدهد که عاملان FIN7 در طول زمان با عملیاتهای باجافزار مختلفی مرتبط بودهاند».
این گروه مجرم سایبری، از زمان ظهورش در اواسط دهه ۲۰۱۰، برای کمپینهای بدافزار در مقیاس بزرگ که سیستمهای پوز (POS) را با هدف صنایعی مانند رستوران، قمار و هتلداری با بدافزار سرقت کارت اعتباری هدف قرار میداد، شهرت پیدا کرده است.
تغییر استراتژی درآمدزایی FIN7 به سمت باجافزار به دنبال گزارش اکتبر ۲۰۲۱ از واحد مشاوره Gemini در Recorded Future است که متوجه شد دشمن اصلی یک شرکت جعلی به نام Bastion Secure را راهاندازی میکند تا آزمایشکنندگان نفوذ ناخواسته به سمت حمله باجافزاری هدایت نماید.
سپس در اوایل ژانویه امسال، دفتر تحقیقات فدرال ایالات متحده (FBI) هشداری به سازمانها صادر کرد و هشدار داد که این باند دارای انگیزه مالی، درایوهای USB مخرب (معروف به BadUSB) را به اهداف تجاری ایالات متحده در صنایع حملونقل، بیمه و دفاع میفرستد تا سیستمها را با بدافزار، از جمله باجافزار آلوده نماید.
نفوذهای اخیر که توسط این بازیگر از سال ۲۰۲۰ انجام شده است شامل استقرار یک فریمورک گسترده PowerShell backdoor به نام POWERPLANT بوده است که به تمایل گروه برای استفاده از بدافزار مبتنی بر PowerShell برای عملیات تهاجمی خود ادامه میداده است.
محققان Mandiant میگویند: «در این شکی نیست که PowerShell زبان مورد علاقه FIN7 است».
در یکی از این حملات، مشاهده شد که FIN7 وبسایتی را که محصولات دیجیتالی میفروشد به خطر انداخته تا چندین لینک دانلود را تغییر دهد و آنها را به یک باکت آمازون S3 میزبان نسخههای تروجانیزهشده که حاوی Atera Agent، یک ابزار مدیریت از راه دور قانونی است، هدایت کنند و سپس POWERPLANT را در سیستم قربانی مستقر کند.
حمله زنجیره تأمین همچنین نشاندهنده تجارت در حال تکامل گروهها برای دسترسی اولیه و استقرار payloadهای بدافزار مرحله اول است که معمولاً حول طرحهای فیشینگ متمرکز شدهاند.
ابزارهای دیگری که توسط این گروه برای تسهیل نفوذ استفاده میشود عبارتند از EASYLOOK، یک ابزار شناسایی؛ BOATLAUNCH، یک ماژول کمکی که برای دور زدن رابط اسکن ضد بدافزار ویندوز (AMSI) طراحی شده است؛ و BIRDWATCH، یک دانلودکننده مبتنی بر.NET که برای واکشی و اجرای باینریهای مرحله بعدی دریافت شده از طریق HTTP استفاده میشود.
محققان Mandiant گفتند: «با وجود کیفرخواست صادره برای اعضای FIN7 در سال ۲۰۱۸ و صدور حکم مربوطه در سال ۲۰۲۱ که توسط وزارت دادگستری ایالات متحده اعلام شد، حداقل برخی از اعضای FIN7 فعال باقی ماندهاند و در طول زمان به توسعه عملیات جنایی خود ادامه میدهند».
این محققان افزودند: «گروه FIN7 در طول تکامل خود، سرعت عملیات، دامنه هدفگیری و حتی احتمالاً روابط خود را با سایر عملیات باجافزار بطور زیرزمینی با جنایات سایبری افزایش داده است».
برچسب ها: Atera Agent, BIRDWATCH, AMSI, BOATLAUNCH, EASYLOOK, POWERPLANT, PowerShell backdoor, دفتر تحقیقات فدرال ایالات متحده, BadUSB, Bastion Secure, Gemini, POS, FIN7, Recorded Future, فریمورک, Framework, باجافزار, Mandiant, اعتبارنامه, .NET, PowerShell, جرایم سایبری, windows, ویندوز, phishing, malware, FBI, ransomware , Cyber Security, backdoor, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری