Tehdit analistleri, 2021’in sonundan 2022’nin başlarına kadar FIN7 operasyonları hakkında ayrıntılı bir teknik rapor derleyerek, düşmanın çok aktif olmaya, gelişmeye ve yeni para kazanma yöntemleri denemeye devam ettiğini gösteriyor.
FIN7 (aka Carbanak), becerikli ve çeşitli taktikleri, özel yapım kötü amaçlı yazılımları ve gizli arka kapıları ile tanınan, Rusça konuşan, finansal olarak motive olmuş bir aktördür.
Grubun bazı üyeleri 2018’de suçlansa da, ardından hüküm 2021’de yöneticilerinden biri olan FIN7 ortadan kaybolmadı ve gizli saldırılar için yeni araçlar geliştirmeye devam etti.
Mandiant’ta, grubun operasyonlarını gözlemlemeye ve takip etmeye devam eden araştırmacılar tarafından, yeni kötü amaçlı yazılım örneklerinin analizine dayanan zengin ve yeni bir FIN7 uzlaşma göstergesi seti yayınlandı.
Bir dizi siber saldırıdan toplanan kanıtlar, analistlerin önceden şüphelenilen sekiz UNC grubunu, belirli bir grup için geniş operasyon kapsamını gösteren FIN7’de birleştirmesine yol açtı.
Araç setinin gelişimi
PowerPlant olarak bilinen ve yıllardır FIN7 ile ilişkilendirilen PowerShell arka kapısı, Mandiant 0,012 ile 0,028 arasında değişen sürüm numaralarını tanımladığı için hala yeni varyantlar halinde geliştirilmektedir.
Bazı izinsiz girişlerde, FIN7’nin işlevselliği değiştirdiği ve PowerPlant’a yeni özellikler eklediği ve yeni sürümü operasyonun ortasında dağıttığı gözlemlendi.
Mandiant’a göre PowerPlant, 2022 operasyonlarında Loadout ve Griffon’un yerini alırken, Carbanak ve Diceloader kötü amaçlı yazılımları da arka planda kaldı.
Dağıtım sırasında PowerPlant, C2 sunucusundan farklı modüller getirir, bu nedenle ortaya çıkan yetenekler kümesi değişir. En yaygın olarak dağıtılan iki modül, Easylook ve Boatlaunch olarak adlandırılır.
Easyloook, FIN7’nin donanım, kullanıcı adları, kayıt anahtarları, işletim sistemi sürümleri, etki alanı verileri vb. gibi ağ ve sistem bilgileri ayrıntılarını yakalamak için en az iki yıldır kullandığı bir keşif aracıdır.
Boatlaunch, bir AMSI baypası ile sonuçlanan 5 baytlık bir talimat dizisiyle, güvenliği ihlal edilmiş sistemlerde PowerShell işlemlerini yayan bir yardımcı modüldür.
AMSI (kötü amaçlı yazılımdan koruma tarama arabirimi), kötü amaçlı PowerShell yürütmesini algılamaya yardımcı olan yerleşik bir Microsoft aracıdır, dolayısıyla Boatlaunch bunu önlemeye yardımcı olmak için oradadır. Mandiant, hem 32 bit hem de 64 bit modül sürümlerini tespit etti.
Bir diğer yeni gelişme, Crowview ve Fowlgaze adlı iki çeşidi bulunan Birdwatch indiricisinin evrimidir.
Her iki varyant da .NET tabanlıdır, ancak Birdwatch’ın aksine, kendi kendini silme özelliklerine sahiptirler, gömülü yüklerle birlikte gelirler ve ek argümanları desteklerler.
Birdwatch gibi, bu yeni varyantlar HTTP üzerinden yüklerin alınmasını destekler ve FIN7’ye sistemde hangi işlemlerin çalıştığını, ağ yapılandırmasının ne olduğunu ve hangi web tarayıcısının kullanıldığını söyleyen temel keşif operasyonları sunmaya devam eder.
Fidye yazılımlarında yeni girişimler
Mandiant’ın raporunda sunulan ilginç bir bulgu, FIN7’nin çeşitli fidye yazılımı çeteleriyle ilişkisidir.
Daha spesifik olarak analistler, Maze, Ryuk, Darkside ve BlackCat/ALPHV gibi fidye yazılımlarıyla ilgili olaylardan hemen önce tespit edilen FIN7 izinsiz girişlerinin kanıtlarını buldular.
“İzinsiz giriş verilerinden elde edilen kanıtlara ek olarak, ikincil eserler FIN7’nin en azından bazı DARKSIDE operasyonlarında rol oynadığını gösteriyor.” diyor Mandiant
“FIN7 tarafından 2021’de BEACON ve BEAKDROP örneklerini imzalamak için kullanılan düşük küresel yaygınlık kodu imzalama sertifikası, vahşi doğada kurtarılan birden fazla ilişkilendirilmemiş DARKSIDE örneğini imzalamak için de kullanıldı.”
Geçen Ekim ayında, Bleeping Computer, FIN7’nin, grup kurulum için maruz kaldığında fidye yazılımı operasyonlarına artan ilgisini bildirdi. sahte bir pentesting firması ağ saldırı uzmanlarını işe almak.
FIN7’nin fidye yazılımı çetelerine ilk ağ erişimi sunup sunmadığı veya bağlı kuruluşlar olarak çalışıp çalışmadığı ve yukarıda belirtilen türleri kullanıp kullanmadığı belirsizdir. Yine de, düşmanın fidye yazılımı operasyonlarına açık bir şekilde dahil olduğu görülüyor.