ارتباط هکر‌های FIN7 با حملات زنجیره تأمین نرم‌افزار و استفاده مجدد از رمز عبور

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir fin7 hackers leveraging password reuse and software supply chain attacks 1
تحقیقات جدید نشان می‌دهد که گروه بدنام جرایم سایبری معروف به FIN7، مسیر‌های دسترسی اولیه خود را تنوع بخشید و تغییر داده تا زنجیره تأمین نرم‌افزار به خطر انداخته و از اعتبارنامه‌های سرقت شده سواستفاده کند.

شرکت Mandiant در تحلیلی در روز دوشنبه گفت: «اخاذی از سرقت داده یا استقرار باج‌افزار به دنبال فعالیت‌های منتسب به FIN7 در چندین سازمان، و همچنین همپوشانی‌های فنی، نشان می‌دهد که عاملان FIN7 در طول زمان با عملیات‌های باج‌افزار مختلفی مرتبط بوده‌اند».

این گروه مجرم سایبری، از زمان ظهورش در اواسط دهه ۲۰۱۰، برای کمپین‌های بدافزار در مقیاس بزرگ که سیستم‌های پوز (POS) را با هدف صنایعی مانند رستوران، قمار و هتلداری با بدافزار سرقت کارت اعتباری هدف قرار می‌داد، شهرت پیدا کرده است.

تغییر استراتژی درآمدزایی FIN7 به سمت باج‌افزار به دنبال گزارش اکتبر ۲۰۲۱ از واحد مشاوره Gemini در Recorded Future است که متوجه شد دشمن اصلی یک شرکت جعلی به نام Bastion Secure را راه‌اندازی می‌کند تا آزمایش‌کنندگان نفوذ ناخواسته به سمت حمله باج‌افزاری هدایت نماید.

سپس در اوایل ژانویه امسال، دفتر تحقیقات فدرال ایالات متحده (FBI) هشداری به سازمان‌ها صادر کرد و هشدار داد که این باند دارای انگیزه مالی، درایو‌های USB مخرب (معروف به BadUSB) را به اهداف تجاری ایالات متحده در صنایع حمل‌ونقل، بیمه و دفاع می‌فرستد تا سیستم‌ها را با بدافزار، از جمله باج‌افزار آلوده نماید.
takian.ir fin7 hackers leveraging password reuse and software supply chain attacks 2
نفوذ‌های اخیر که توسط این بازیگر از سال ۲۰۲۰ انجام شده است شامل استقرار یک فریمورک گسترده PowerShell backdoor به نام POWERPLANT بوده است که به تمایل گروه برای استفاده از بدافزار مبتنی بر PowerShell برای عملیات تهاجمی خود ادامه می‌داده است.

محققان Mandiant می‌گویند: «در این شکی نیست که PowerShell زبان مورد علاقه FIN7 است».

در یکی از این حملات، مشاهده شد که FIN7 وب‌سایتی را که محصولات دیجیتالی می‌فروشد به خطر انداخته تا چندین لینک دانلود را تغییر دهد و آن‌ها را به یک باکت آمازون S3 میزبان نسخه‌های تروجانیزه‌شده که حاوی Atera Agent، یک ابزار مدیریت از راه دور قانونی است، هدایت کنند و سپس POWERPLANT را در سیستم قربانی مستقر کند.

حمله زنجیره تأمین همچنین نشان‌دهنده تجارت در حال تکامل گروه‌ها برای دسترسی اولیه و استقرار payload‌های بدافزار مرحله اول است که معمولاً حول طرح‌های فیشینگ متمرکز شده‌اند.

ابزار‌های دیگری که توسط این گروه برای تسهیل نفوذ استفاده می‌شود عبارتند از EASYLOOK، یک ابزار شناسایی؛ BOATLAUNCH، یک ماژول کمکی که برای دور زدن رابط اسکن ضد بدافزار ویندوز (AMSI) طراحی شده است؛ و BIRDWATCH، یک دانلود‌کننده مبتنی بر.NET که برای واکشی و اجرای باینری‌های مرحله بعدی دریافت شده از طریق HTTP استفاده می‌شود.

محققان Mandiant گفتند: «با وجود کیفرخواست صادره برای اعضای FIN7 در سال ۲۰۱۸ و صدور حکم مربوطه در سال ۲۰۲۱ که توسط وزارت دادگستری ایالات متحده اعلام شد، حداقل برخی از اعضای FIN7 فعال باقی مانده‌اند و در طول زمان به توسعه عملیات جنایی خود ادامه می‌دهند».

این محققان افزودند: «گروه FIN7 در طول تکامل خود، سرعت عملیات، دامنه هدف‌گیری و حتی احتمالاً روابط خود را با سایر عملیات باج‌افزار بطور زیرزمینی با جنایات سایبری افزایش داده است».

برچسب ها: Atera Agent, BIRDWATCH, AMSI, BOATLAUNCH, EASYLOOK, POWERPLANT, PowerShell backdoor, دفتر تحقیقات فدرال ایالات متحده, BadUSB, Bastion Secure, Gemini, POS, FIN7, Recorded Future, فریم‌ورک‌, Framework, باج‌افزار, Mandiant, اعتبارنامه, .NET, PowerShell, جرایم سایبری, windows, ویندوز, phishing, malware, FBI, ransomware , Cyber Security, backdoor, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ