Zloglasni sindikat kibernetičkog kriminala poznat kao FIN7 povezan je s kampanjom krađe identiteta koja je ciljala američku automobilsku industriju kako bi isporučila poznati backdoor pod nazivom Carbanak (aka Anunak).
„FIN7 je identifikovao zaposlene u kompaniji koji su radili u IT odjelu i imali su viši nivo administrativnih prava“, navodi BlackBerry istraživački i obavještajni tim u novom zapisu.
“Iskoristili su privlačnost besplatnog alata za skeniranje IP adresa da pokrenu svoj dobro poznati Anunak backdoor i steknu početno uporište koristeći binarne datoteke, skripte i biblioteke (LOLBAS).”
FIN7, također poznat kao Carbon Spider, Elbrus, Gold Niagara, ITG14 i Sangria Tempest, dobro je poznata finansijski motivisana grupa za e-kriminal koja ima tragove napada na širok raspon industrijskih vertikala kako bi isporučila zlonamjerni softver sposoban za krađu informacija iz sistema prodajnih mjesta (PoS) od 2012.
Posljednjih godina, haker je prešao na provođenje operacija ransomware-a , isporučujući različite vrste poput Black Basta, Cl0p, DarkSide i REvil. Dvojica ukrajinskih članova grupe, Fedir Hladyr i Andrii Kolpakov, do sada su osuđeni na zatvorske kazne u SAD-u.
Najnovija kampanja koju je BlackBerry otkrio krajem 2023. godine počinje spear-phishing emailom koji sadrži zaraženi link koji upućuje na lažnu stranicu (“advanced-ip-sccanner[.]com”) koja se predstavlja kao Advanced IP Scanner.
“Ova lažna stranica je preusmjerena na ‘myipscanner[.]com’, koja je zauzvrat preusmjerila na Dropbox u vlasništvu napadača koji je preuzeo zlonamjerni izvršni WsTaskLoad.exe na mašinu žrtve”, saopštila je kanadska kompanija za sajber sigurnost.
Binarnost, sa svoje strane, pokreće višestepeni proces koji na kraju dovodi do izvršenja Carbanaka. Takođe je dizajniran da isporuči dodatna opterećenja kao što je POWERTRASH i uspostavi postojanost instaliranjem OpenSSH za daljinski pristup.
Trenutno nije poznato da li su hakeri planirali implementaciju ransomware-a, jer je zaraženi sistem rano otkriven i uklonjen sa mreže prije nego što je stigao u fazu bočnog kretanja.
Iako je meta napada bio “veliki multinacionalni proizvođač automobila” sa sjedištem u SAD-u, BlackBerry je rekao da je pronašao nekoliko sličnih zlonamjernih domena kod istog provajdera, što ukazuje da bi to mogao biti dio šire kampanje FIN7.
Da bi se umanjili rizici koje predstavljaju takve prijetnje, preporučuje se da organizacije budu na oprezu za pokušajima krađe identiteta, omoguće višefaktorsku autentifikaciju (MFA), održavaju sav softver i sisteme ažurnim i prate neobične pokušaje prijave.
Izvor: The Hacker News
