Скрытные тактики новейшего бэкдора Anubis от FIN7

security

Финансовая киберпреступная группа FIN7, также известная как Carbanak, была обнаружена с использованием нового бэкдора на базе языка Python в своих последних кампаниях.

Описание

Группа FIN7, активная с 2015 года, специализируется на атаках на финансовый и гостиничный секторы. Она известна своими техническими навыками и инновационными тактиками социальной инженерии. Первоначальные файлы, связанные с новым бэкдором, имели низкое обнаружение, что свидетельствует о хорошей тактике обфускации и шифрования, используемой группой для избежания обнаружения антивирусными программами.

Бэкдор AnubisBackdoor, используемый FIN7, представляет собой сложный инструмент, который включает в себя функции шифрования и обфускации для максимального скрытия своих вредоносных намерений. Обнаруженный файл conf.py использует шифрование AES и базируется на классе расшифровки WD для декодирования и запуска обфусцированной полезной нагрузки. Используя функцию load, бэкдор расшифровывает и выполняет вредоносный код, минимизируя свои следы на диске.

Группа FIN7 также применяет многоуровневую обфускацию и обманы с использованием классов-обманок и визуально запутанного именования переменных и функций, чтобы усложнить анализ и обнаружение своих действий. Вредоносная программа FIN7 использует Python, легитимный язык сценариев, чтобы внедрить свои атаки и с легкостью скрыться среди обычных системных операций.

Финансовая группа FIN7 продолжает развиваться и совершенствовать свои техники, демонстрируя глубокое понимание современных методов защиты и способов их обхода. Их использование сложных инструментов, таких как AnubisBackdoor, свидетельствует о их технических навыках и старании сохранить эффективность своих атак.

Indicators of Compromise

IPv4

  • 38.134.148.20
  • 5.252.177.249

SHA256

  • 03a160127cce3a96bfa602456046cc443816af7179d771e300fec80c5ab9f00f
  • 5203f2667ab71d154499906d24f27f94e3ebdca4bba7fe55fe490b336bad8919
  • 96b9f84cc7bf11bdc3ce56c81cca550753790b3021aa70ec63b38d84b0b50f89
  • e5255d5f476784fcef97f9c41b12665004c1b961e35ad445ed41e0d6dbbc4f8e
Комментарии: 0