可用-恶意软件

FIN7 APT 组织在地下论坛发广告推销反 EDR 系统的黑客工具

作者: 内容转载 日期: 2024-07-18 分类: 网络攻击 暂无评论
  • 浏览次数 219
  • 喜欢 0
  • 评分 12345

以获取经济利益为目的的APT组织 FIN7 在多个地下论坛上使用多个假名,出售其定制的“AvNeutralizer”工具,该工具用于通过杀死企业网络上的企业端点保护软件(EDR)来逃避检测。

网络安全公司 SentinelOne在一份报告中表示:“AvNeutralizer(又名AuKill)是 FIN7 开发的用于篡改安全解决方案的高度专业化工具,已在地下犯罪市场销售,并被多个勒索软件团体使用。”

640

FIN7 攻击者在黑客论坛上销售 AVNeutralizer

FIN7 是一个源自俄罗斯和乌克兰的网络犯罪集团,自 2012 年以来一直是一个全球性的持续威胁,其最初目标是专注于金融欺诈以及窃取借记卡和信用卡。后来转变为充当 REvil 和 Conti 等现已不复存在的勒索软件团伙的附属机构,之后又推出了自己的勒索软件程序 DarkSide 和 BlackMatter。

FIN7 以复杂的网络钓鱼和工程攻击而闻名,以获取对公司网络的初始访问权,包括冒充百思买发送恶意 USB 密钥以及开发自定义恶意软件和工具。

为了增加攻击范围,他们创建了一个 名为 Bastion Secure 的虚假安全公司 ,雇佣渗透测试人员和开发人员进行勒索软件攻击,而申请人却不知道他们的工作成果是如何被利用的。

该APT组织被世界各地不同安全研究机构以 Carbanak、Carbon Spider、Gold Niagara 和 Sangria Tempest(以前称为 Elbrus)等名称进行追踪,曾设立Combi Security 和 Bastion Secure 等幌子公司,以渗透测试为借口招募不知情的软件工程师参与勒索软件计划。

多年来,FIN7 通过重组其恶意软件库——POWERTRASH、DICELOADER(又名IceBot、Lizar 或Tirion)以及通过POWERTRASH加载器提供的渗透测试工具Core Impact,展示了高度的适应性、复杂性和技术专长。

Sophos 2023 年的一份报告详细说明了 AvNeutralizer/AuKill 如何滥用合法的 SysInternals Process Explorer 驱动程序来终止设备上运行的防病毒进程。

FIN7声称该工具可用于杀死任何防病毒/EDR 软件,包括 Windows Defender 以及 Sophos、SentinelOne、Panda、Elastic 和 Symantec 的产品。

SentinelOne 现在发现 FIN7 已更新 AVNeutralizer 以利用 Windows ProcLaunchMon.sys 驱动程序挂起进程,使其不再正常运行。

640

AvNeutralizer 工作流程,来源:SentinelOne

SentinelOne 发现 FIN7 使用的其他定制工具和恶意软件,目前尚未出售给其他黑客组织:

Powertrash(PowerShell 后门)、Diceloader(轻量级 C2 控制后门)、Core Impact(渗透测试工具包)和基于 SSH 的后门。

研究人员警告称,FIN7 在工具和技术方面的不断发展和创新以及其软件的销售,对全球企业构成了重大威胁。

SentinelOne 研究员 Antonio Cocomazzi 总结道:“FIN7 的不断创新,尤其是其在逃避安全措施的复杂技术方面,展示了其技术专长。”

SentinelOne 的最新发现表明,FIN7 不仅在网络犯罪论坛上使用多个角色来促进 AvNeutralizer 的销售,而且还对该工具进行了新功能改进。

FIN7 一直致力于开发和使用复杂工具来开展自己的业务,向其他网络犯罪分子出售工具可以看作是他们实现多样化和创造额外收入的手段的自然演变。

FIN7 一直利用地下市场来获取收入。例如,美国司法部报告称,自 2015 年以来,FIN7 成功窃取了超过 1600 万张支付卡的数据,其中许多都在地下市场上出售。虽然这在勒索软件时代之前更为常见,但 AvNeutralizer 目前的广告可能预示着其攻击活动的转变或扩张。

与以前的 AV 系统相比,流行的 EDR 解决方案提供的保护不断增加。随着这些防御措施的改进,对 AvNeutralizer 等攻击工具的需求显著增长,尤其是在勒索软件运营商中。攻击者现在在绕过这些保护方面面临更严峻的挑战,这使得此类工具非常有价值且昂贵。

就其本身而言,更新后的 AvNeutralizer 版本采用了反分析技术,最重要的是,它利用名为“ ProcLaunchMon.sys ”的 Windows 内置驱动程序与Process Explorer驱动程序结合来篡改安全解决方案的功能并逃避检测。据信该工具自 2022 年 4 月以来一直在积极开发中。

Lazarus Group 也使用了类似版本的方法,这使得该方法更加危险,因为它通过将 Windows 机器中默认存在的易受攻击的驱动程序武器化,超越了传统的自带易受攻击驱动程序 (BYOVD) 攻击。

另一个值得注意的更新涉及 FIN7 的Checkmarks 平台,该平台已被修改为包含一个自动 SQL 注入攻击模块,用于利用面向公众的应用程序。

SentinelOne 表示:“FIN7 在其攻击活动中采用了自动攻击方法,通过自动 SQL 注入攻击瞄准面向公众的服务器。此外,它在犯罪地下论坛中开发和商业化 AvNeutralizer 等专用工具,大大增强了该组织的影响力。”

 

转自军哥网络安全读报原文链接:https://mp.weixin.qq.com/s/ogNxXV6CLTijrxwyTi4ZGw

封面来源于网络,如有侵权请联系删除