Tin tặc FIN7 tận dụng việc tái sử dụng mật khẩu và tấn công chuỗi cung ứng phần mềm

6 tháng 4, 2022

Nhóm tội phạm mạng khét tiếng được gọi là FIN7 đã đa dạng hóa các phương tiện truy cập ban đầu để kết hợp tấn công chuỗi cung ứng phần mềm và sử dụng thông tin đăng nhập bị đánh cắp, nghiên cứu mới bị tiết lộ.


Công ty phản ứng sự cố Mandiant đã nêu trong một phân tích hôm thứ hai: "Việc tống tiền đánh cắp dữ liệu hoặc triển khai ransomware theo sau hoạt động được quy cho FIN7 tại nhiều tổ chức, cũng như sự chồng chéo về kỹ thuật thấy rằng các tác nhân FIN7 đã có liên quan đến các hoạt động ransomware khác nhau theo thời gian".


Nhóm tội phạm mạng kể từ khi xuất hiện vào giữa những năm 2010 đã nổi tiếng với các chiến dịch phần mềm độc hại quy mô lớn nhắm vào hệ thống điểm bán hàng (POS) trọng tâm là các nhà hàng, sòng bạc và ngành công nghiệp du lịch khách sạn bằng phần mềm độc hại ăn cắp thẻ tín dụng.


Sự thay đổi chiến lược kiếm tiền của FIN7 đối với ransomware sau một báo cáo vào tháng 10 năm 2021 từ đơn vị Tư vấn Gemini của Recorded Future, cho thấy đối thủ đã thiết lập một công ty bình phong giả mạo có tên Bastion Secure để tuyển dụng những người kiểm tra thâm nhập không cố ý (unwitting) dẫn đến một cuộc tấn công bằng ransomware.


Sau đó vào đầu tháng 1 này, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã ban hành Cảnh báo Flash cho các tổ chức rằng băng nhóm có động cơ tài chính đang gửi các ổ USB độc hại (hay còn gọi là BadUSB) tới các tổ chức thương mại của Hoa Kỳ trong ngành vận tải, bảo hiểm và quốc phòng để lây nhiễm hệ thống với phần mềm độc hại, bao gồm cả ransomware.



Các cuộc xâm nhập gần đây do nhóm tin tặc này tổ chức kể từ năm 2020 liên quan đến việc triển khai một khung backdoor PowerShell rộng lớn được gọi là POWERPLANT, tiếp tục xu hướng sử dụng phần mềm độc hại dựa trên PowerShell cho các hoạt động tấn công của nhóm.


Các nhà nghiên cứu Mandiant cho biết: “Không còn nghi ngờ gì nữa, PowerShell là ngôn ngữ yêu thích của FIN7.


Trong một cuộc tấn công, người ta đã quan sát thấy FIN7 xâm nhập một trang web bán các sản phẩm kỹ thuật số nhằm điều chỉnh nhiều liên kết tải xuống để khiến chúng đưa con trỏ đến một nơi chứa Amazon S3 lưu trữ các phiên bản trojanized có chứa Atera Agent, một công cụ quản lý từ xa hợp pháp, sau đó đưa POWERPLANT vào hệ thống của nạn nhân.


Cuộc tấn công vào chuỗi cung ứng cũng đánh dấu quy trình giao dịch đang phát triển của nhóm đối với quyền truy cập ban đầu và việc triển khai phần mềm độc hại giai đoạn đầu, thường tập trung vào các âm mưu lừa đảo phishing.


Các công cụ khác được nhóm sử dụng để tạo điều kiện xâm nhập bao gồm EASYLOOK, một ứng dụng do thám; BOATLAUNCH, một module trợ giúp được thiết kế để vượt qua Giao diện quét chống phần mềm độc hại của Windows (AMSI); và BIRDWATCH, một trình ứng dụng tải xuống (downloader) dựa trên .NET được sử dụng để tìm nạp và thực hiện các tệp nhị phân (binaries) giai đoạn tiếp theo nhận được qua HTTP.


Các nhà nghiên cứu của Mandiant cho biết: "Bất chấp các cáo buộc của các thành viên FIN7 vào năm 2018 và bản án liên quan vào năm 2021 do Bộ Tư pháp Hoa Kỳ công bố, ít nhất một số thành viên của FIN7 vẫn hoạt động tích cực và tiếp tục phát triển các hoạt động phạm tội của họ theo thời gian".


"Trong suốt quá trình phát triển, FIN7 đã tăng tốc tiến độ hoạt động, phạm vi nhắm mục tiêu và thậm chí có thể là mối quan hệ của họ với các hoạt động ransomware khác trong thế giới ngầm của tội phạm mạng".


Nguồn: Thehackernews.com

Bạn cũng có thể quan tâm

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.
3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.
31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: