Аналитики BlackBerry обнаружили фишинговую кампанию группы FIN7, которая была направлена на крупного производителя автомобилей в США. Группа использовала бесплатный инструмент для сканирования IP-адресов, чтобы запустить бэкдор Anunak и получить доступ к корпоративной сети. Данная атака была частью широкой кампании FIN7, которая в последние годы перешла от массовых атак к более точным нападениям на крупные организации.
Carbon Spider (FIN7) APT
FIN7 является группировкой постоянных угроз, которая действует с 2013 года и имеет финансовую мотивацию. В прошлом она атаковала розничный торговый, ресторанный и гостиничный секторы США, но в последнее время расширила свою деятельность на транспортный, страховой и оборонный секторы. Группа также известна под названиями Carbon Spider, ELBRUS и Sangria Tempest, и связана с другими киберпреступными группами, включая GOLD NIAGARA и BlackCat.
Атака на производителя автомобилей началась с фишинговых писем, которые содержали вредоносный URL-адрес, маскировавшийся под легитимный сайт. Поддельный сайт перенаправлял на принадлежащий злоумышленнику Dropbox, откуда на компьютер жертвы загружался вредоносный файл. Данный файл выполнял несколько этапов, чтобы запустить конечную полезную нагрузку Anunak/Carbanak.
Аналитики BlackBerry успели обнаружить и остановить эту атаку до того, как была запущена программа-вымогатель. Обнаружение атаки на ранней стадии может предотвратить серьезные последствия и большие финансовые потери, которые могут причинить программы-вымогатели.
FIN7 продолжает развивать свои техники атак и ищет новые цели с высоким потенциалом для получения финансовой выгоды. Поэтому организации должны обладать глубоким пониманием угроз и принимать необходимые меры для защиты своих систем и данных.
Indicators of Compromise
IPv4
- 104.166.127.197
- 104.166.127.200
- 109.107.170.47
- 109.107.171.62
- 155.254.192.66
- 162.248.224.79
- 166.1.160.118
- 166.1.190.171
- 166.1.190.186
- 166.1.190.48
- 172.82.87.69
- 181.215.69.24
- 185.161.210.18
- 185.39.204.179
- 185.72.8.147
- 185.72.8.6
- 185.72.8.70
- 193.233.206.146
- 193.233.22.136
- 193.233.22.28
- 193.233.22.36
- 193.233.22.43
- 193.233.23.177
- 207.174.31.205
- 207.174.31.206
- 207.174.31.253
- 209.209.113.91
- 217.196.101.116
- 23.133.88.52
- 38.180.1.103
- 38.180.1.17
- 38.180.14.240
- 38.180.20.94
- 38.180.40.23
- 46.246.98.196
- 5.181.159.11
- 5.61.39.157
- 5.8.63.105
- 5.8.63.108
- 5.8.63.139
- 5.8.63.245
- 62.233.57.195
- 62.233.57.98
- 91.149.254.85
Domains
- advanced-ip-sccanner.com
- ipscanneronline.com
- ipscannershop.com
- myipscanner.com
- myscannappo.com
- myscannappo.info
- myscannappo.online
- theipscanner.com
MD5
- 87aa5f3f514af2b9ef28db9f092f3249
- bb23dde1e3ecef7d93a39e77e32ef96c
SHA256
- d63060e61c98074c58926a6239185e8128fd0fbc2a45ccf60f3c831bb18ffc93
- ff4c287c60ede1990442115bddd68201d25a735458f76786a938a0aa881d14ef