Kötü şöhretli Fin7 Hacking Group, kurumsal ağları ihlal etmek, verileri çalmak ve finansal boyuta göre fidye yazılımı saldırıları için hedefleri seçmek için Microsoft Exchange ve SQL enjeksiyon güvenlik açıklarından yararlanan otomatik bir saldırı sistemi kullanır.
Bu sistem, yıllardır FIN7 operasyonlarını takip eden Prodaft'ın tehdit istihbarat ekibi tarafından keşfedildi.
Yayınlamadan önce BleepingComputer ile paylaşılan bir raporda Prodaft, Fin7'nin dahili hiyerarşisi, çeşitli fidye yazılımı projeleriyle ilişkiler ve tehlikeye atılan ağlardan dosyaları çalmak için kullanılan yeni bir SSH arka kapı sistemi hakkında ayrıntıları ortaya koyuyor.
Fin7, en az 2012'den beri Rusça konuşan ve finansal olarak motive olmuş bir tehdit aktörüdür.
ATM'lere yönelik saldırılarla ilişkilendirildiler, Teddy Bears içindeki kötü amaçlı yazılım sürücülerini gizleyerek sahte siber güvenlik firmaları fidye yazılımı saldırıları için pentesters işe alacaklar ve daha fazlası.
ProdAft tarafından keşfedilen otomatik saldırı sistemine 'checkmarks' denir ve birden fazla Microsoft Exchange uzaktan kod yürütme ve CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 gibi ayrıcalık yükseklik güvenlik açıkları için bir tarayıcıdır.
Haziran 2021'den başlayarak Fin7, şirketlerin ağları içindeki savunmasız uç noktaları otomatik olarak keşfetmek ve PowerShell üzerinden web mermileri bırakarak erişim kazanmak için bunları kullanmak için onay işaretlerini kullandı.
Fin7, kendi özel kodları ve halka açık POC'ler de dahil olmak üzere hedef ağlara erişim elde etmek için çeşitli istismarlar kullandı.
MS Exchange kusurlarına ek olarak, CheckMarks saldırı platformunda, bir hedefin web sitesinde potansiyel olarak kullanılabilir kusurları taramak üzere SQLMAP kullanan bir SQL enjeksiyon modülü de bulunur.
FIN7 operatörlerinin tehlikeye atılan uç nokta hakkında ek ayrıntılar görebildiği merkezi bir panele otomatik olarak yeni kurbanlar eklenir.
Daha sonra, Fin7'nin dahili 'pazarlama' ekibi yeni girişleri inceliyor ve kurbanların mevcut gelirini, çalışan sayısını, alan adı, merkez detaylarını ve pentesterlerin zaman ve çabaya değip değmeyeceğini belirlemesine yardımcı olan diğer bilgileri listelemek için checkmarks platformuna yorum ekler. fidye yazılımı saldırısı.
"Bir firma yeterli bir piyasa büyüklüğüne sahip olduğu kabul edilirse, Pentester, sunucu bağlantısının nasıl kullanılabileceği, saldırının ne kadar sürebileceği ve ne kadar ileri gidebileceği konusunda yönetici hakkında bir yorum bırakıyor." BleepingComputer ile.
Fin7'nin pazarlama ekibi Owler, Crunchbase, DNB, Zoominfo, Mustat ve BenzerWeb dahil olmak üzere çeşitli kaynaklardan bilgi toplarken, bir firmanın büyüklüğünü ve finansal durumunu değerlendirmek için gereken durum dikkat çekicidir.
ProDaft, Fin7'nin checkmarks platformunun, 1.8 milyondan fazla hedefi taradıktan sonra, öncelikle Amerika Birleşik Devletleri'nde (%16.7) 8.147 şirkete sızmak için kullanıldığını söylüyor.
Kasım 2022'de Sentinel Labs, FIN7 grubunu Black Basta fidye yazılımı çetesine bağlayan kanıtları ortaya çıkarırken, daha önce Nisan 2022'de Mantiant, Rus hackerları Darkside operasyonlarına bağladı.
Prodaft'ın araştırmaları, fidye yazılımı işleminden fidye notları ve şifreli dosyalar gibi görünen şeyleri bulduktan sonra Darkside bağlantısının daha fazla kanıtını keşfetti.
Dahası, araştırmacılar, geri alınan Jabber günlüklerinden Darkside, Revil ve Lockbit dahil olmak üzere birden fazla fidye yazılımı çetesi ile bol miktarda iletişim kanıtı buldular.
Bu günlüklerden önemli bir ayrıntı, FIN7'nin fidye ödendikten sonra bile, diğer gruplara erişim satmak veya gelecekte yeni bir saldırı denemek için fidye yazılımı kurbanlarının ağlarında bir SSH arka kapısı tutmayı sevmesidir.
Bu SSH Backdoor, Fin7'nin Arsenal'e yakın tarihli bir ektir ve bir soğan alanı aracılığıyla ters SSH bağlantıları (SFTP) kullanarak ihlal edilen cihazlardan dosyaları çalmalarına olanak tanır.
Fin7'nin checkmarks platformu, tehdit aktörlerinin küresel bir etki ile geniş ölçekli saldırılar yapmak için kamu istismarlarını nasıl sanayileştiklerini göstermektedir.
Ayrıca, soruşturma, değerli firmaları özellikle hedeflemek yerine, FIN7'nin herkesi hedeflediğini ve ikinci aşamada ne kadar değerli olduklarını değerlendirdiğini göstermektedir.
Prodaft, SSH tabanlı arka kapı ve saldırılarında kullanılan diğer kötü amaçlı yazılımlar için raporlarında uzlaşma (IOCS) göstergeleri sağlamıştır. Fin7'nin ağlarını nasıl hedeflediğini öğrenmek için tüm yöneticilerin raporu gözden geçirmesi şiddetle tavsiye edilir.
Fin7 Hacking Grubuna Bağlı Black Basta Ransomware Gang
Ransomware'de Hafta - 23 Aralık 2022 - Microsoft Exchange'i Hedefleme
Ransomware'de Hafta - 2 Aralık 2022 - Sağlık hizmetlerini bozan
Kanada Yemekleri Perakende Dev Sobeys Black Basta Fidye Yazılımları
Vice Society Fidye Yazılımı Çetesi yeni özel şifreleyiciye geçer
Kaynak: Bleeping Computer