Tin tặc đang tận dụng hành vi tái sử dụng mật khẩu và tấn công phần mềm quản lý chuỗi cung ứng
Kể từ khi xuất hiện vào giữa năm 2010, FIN7 đã nổi tiếng với các chiến dịch quy mô lớn nhắm vào hệ thống điểm bán hàng (POS), các nhà hàng, sòng bạc và khách sạn bằng phần mềm độc hại để đánh cắp thẻ tín dụng.
Các chuyên gia của Công ty phản ứng sự cố Mandiant cho biết: “Bất chấp các cáo buộc đối của thành viên FIN7 vào năm 2018 và bản án liên quan vào năm 2021 do Bộ Tư pháp Hoa Kỳ công bố, ít nhất một số thành viên của FIN7 vẫn hoạt động tích cực và tiếp tục phát triển các hoạt động tội phạm của chúng. Trong suốt quá trình, FIN7 đã đẩy mạnh tiến độ hoạt động, phạm vi mục tiêu và thậm chí là quan hệ của chúng với các hoạt động ransomware khác trong thế giới ngầm tội phạm mạng”.
Ngoài ra, Công ty còn thông báo trong một phân tích: "FIN7 được coi là đã thực hiện lây nhiễm mã độc để tống tiền, đánh cắp dữ liệu, phát tán ransomware tại nhiều tổ chức. Các kết quả đánh giá cho thấy rằng nhóm tin tặc FIN7 có liên quan đến các hoạt động ransomware khác nhau".
Một cửa hậu PowerShell có tên PowerPlant đã được FIN7 sử dụng trong nhiều năm, các chuyên gia của Mandiant đã khẳng định chắc rằng PowerShell là ngôn ngữ ưa thích của FIN7 và có rất nhiều biến thể vẫn tiếp tục phát triển.
FIN7 điều chỉnh chức năng và thêm các tính năng mới vào PowerPlant, đồng thời tung ra phiên bản mới khi đang hoạt động. Trong quá trình cài đặt, PowerPlant nhận được các mô-đun khác nhau từ máy chủ thực thi và điều khiển. Hai mô-đun được sử dụng phổ biến nhất được gọi là Easylook và Boatlaunch.
Easyloook là một tiện ích do thám mà FIN7 đã sử dụng trong ít nhất hai năm để thu thập thông tin mạng và hệ thống như phần cứng, tên người dùng, khóa đăng ký, phiên bản hệ điều hành, thông tin miền...
Boatlaunch là một mô-đun trợ giúp vá các quy trình PowerShell trên các hệ thống bị xâm phạm bằng chuỗi lệnh năm byte để vượt qua phần mềm chống mã độc hại của Windows (Malware Scanning Interface - AMSI).
Một phát hiện mới là phiên bản cập nhật của trình tải xuống Birdwatch, hiện có hai biến thể là Crowview và Fowlgaze. Cả hai phiên bản đều được viết bằng .NET, nhưng không giống như Birdwatch, chúng có khả năng tự xóa, đi kèm với payload tích hợp và hỗ trợ các đối số bổ sung.
Một điều thú vị khác là sự tham gia của FIN7 trong các nhóm ransomware khác nhau. Đặc biệt, các nhà phân tích đã tìm thấy bằng chứng về các vụ tấn công thực hiện bởi FIN7 được phát hiện ngay trước sự cố ransomware như Maze, Ryuk, Darkside và BlackCat/ ALPHV.
Đơn vị Tư vấn Gemini của Recorded Future (Hòa Kỳ) đã có một báo cáo vào tháng 10/2021 về sự thay đổi chiến lược kiếm tiền của FIN7 đối với ransomware, chúng đã thành lập một công ty ma có tên Bastion Secure để tuyển dụng những người kiểm tra việc thâm nhập không chủ ý để khai thác tấn công bằng ransomware.
Sau đó vào đầu tháng 1/2022, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã ban hành cảnh báo Flash cho các tổ chức rằng băng nhóm đang gửi các ổ USB độc hại (hay còn gọi là BadUSB) tới các mục tiêu kinh doanh của Hoa Kỳ trong ngành vận tải, bảo hiểm và quốc phòng để làm lây nhiễm phần mềm độc hại, bao gồm cả ransomware.
Một trong các cuộc tấn công, việc theo dõi FIN7 xâm nhập một trang web bán các sản phẩm kỹ thuật số, điều chỉnh nhiều liên kết tải xuống để khiến chúng trỏ đến máy chủ Amazon S3 lưu trữ các phiên bản trojanized có chứa Atera Agent - một công cụ quản lý từ xa hợp pháp. Sau đó, FIN7 âm thầm đưa mã độc PowerPlant vào hệ thống của nạn nhân.
Lê Yến
Lê Yến (tổng hợp)