Финансовая киберпреступная группа FIN7, также известная как Carbanak, была обнаружена с использованием нового бэкдора на базе языка Python в своих последних кампаниях.
Описание
Группа FIN7, активная с 2015 года, специализируется на атаках на финансовый и гостиничный секторы. Она известна своими техническими навыками и инновационными тактиками социальной инженерии. Первоначальные файлы, связанные с новым бэкдором, имели низкое обнаружение, что свидетельствует о хорошей тактике обфускации и шифрования, используемой группой для избежания обнаружения антивирусными программами.
Бэкдор AnubisBackdoor, используемый FIN7, представляет собой сложный инструмент, который включает в себя функции шифрования и обфускации для максимального скрытия своих вредоносных намерений. Обнаруженный файл conf.py использует шифрование AES и базируется на классе расшифровки WD для декодирования и запуска обфусцированной полезной нагрузки. Используя функцию load, бэкдор расшифровывает и выполняет вредоносный код, минимизируя свои следы на диске.
Группа FIN7 также применяет многоуровневую обфускацию и обманы с использованием классов-обманок и визуально запутанного именования переменных и функций, чтобы усложнить анализ и обнаружение своих действий. Вредоносная программа FIN7 использует Python, легитимный язык сценариев, чтобы внедрить свои атаки и с легкостью скрыться среди обычных системных операций.
Финансовая группа FIN7 продолжает развиваться и совершенствовать свои техники, демонстрируя глубокое понимание современных методов защиты и способов их обхода. Их использование сложных инструментов, таких как AnubisBackdoor, свидетельствует о их технических навыках и старании сохранить эффективность своих атак.
Indicators of Compromise
IPv4
- 38.134.148.20
- 5.252.177.249
SHA256
- 03a160127cce3a96bfa602456046cc443816af7179d771e300fec80c5ab9f00f
- 5203f2667ab71d154499906d24f27f94e3ebdca4bba7fe55fe490b336bad8919
- 96b9f84cc7bf11bdc3ce56c81cca550753790b3021aa70ec63b38d84b0b50f89
- e5255d5f476784fcef97f9c41b12665004c1b961e35ad445ed41e0d6dbbc4f8e
