Исследователи компании Palo Alto Networks обнаружили новое вредоносное программное обеспечение, связанное с печально известной киберпреступной группировкой FIN7. Об этом свидетельствует отчет подразделения Unit42, специализирующегося на анализе угроз информационной безопасности.
Описание
Эксперты идентифицировали несколько подозрительных файлов во время расследования отчета о бэкдоре, использующем протокол SSH. Эта вредоносная программа, получившая название Squeamish Libra, предположительно используется в реальных атаках с 2022 года. По данным открытых источников, злоумышленники загружают её с удаленного сервера в виде ZIP-архива, содержащего скрипт под названием "install.bat".
Функциональность данного вредоносного обеспечения вызывает серьезную озабоченность. Оно позволяет операторам устанавливать механизм персистентности (persistence - сохранение присутствия в системе), создавать обратные SSH-туннели для коммуникаций с командным центром и осуществлять эксфильтрацию данных через протокол SFTP. Другими словами, злоумышленники получают долгосрочный неавторизованный доступ к инфраструктуре жертвы.
FIN7, также известная как Carbanak Group, представляет собой одну из наиболее технически оснащенных киберпреступных организаций. Группа активна как минимум с 2013 года и последовательно меняла тактику монетизации своей деятельности. Изначально она специализировалась на атаках с использованием POS-малвари (Point-of-Sale - системы оплаты в точках продаж), нацеленной на рестораны, гостиницы и розничные сети. Со временем FIN7 перешла к более сложным и прибыльным схемам, включая атаки программой-вымогателем (ransomware - программы, шифрующие данные для выкупа) по модели Big Game Hunting, когда мишенью становятся крупные организации.
Появление инструмента Squeamish Libra демонстрирует дальнейшую эволюцию тактик группировки. Использование SSH-туннелей для организации каналов управления делает обнаружение такой активности стандартными сетевыми системами более сложным. Кроме того, механизм персистентности обеспечивает устойчивое присутствие в системе даже после перезагрузки или попыток очистки.
Исследователи Unit42 продолжают поиск дополнительных образцов вредоносного программного обеспечения и индикаторов компрометации, связанных с этой продолжающейся угрозой. Аналитики подчеркивают, что FIN7 традиционно проявляет высокую адаптивность, регулярно обновляя свой инструментарий и методы работы. Следовательно, организациям из традиционно целевых секторов необходимо усиливать мониторинг сетевой активности, особенно обращая внимание на нестандартные SSH-подключения.
Данное открытие служит напоминанием о том, что угрозы со стороны профессиональных киберпреступных групп постоянно эволюционируют. Группировки вроде FIN7 инвестируют значительные ресурсы в разработку специализированного программного обеспечения, что требует адекватного уровня защиты от потенциальных жертв. Особое внимание следует уделять контролю за запуском скриптов и подозрительными сетевыми соединениями, исходящими из внутренней сети во внешние ресурсы.
Индикаторы компрометации
IPv4
- 38.135.54.20
SHA256
- 126ceb09a96fe13f76929f2139a813f8c950059108038a8dc4ece1905577c7f6
- 2a0078b20b94c1346b85aba80db76ba07c5ccbcb78de53fac9d177d48afd8d4c
- bd9bad7c6ab35355dd29ac177fc6d9f732705cafb246ed37da303ddab31ade99
