Het beruchte cybercriminaliteitssyndicaat bekend als FIN7 is in verband gebracht met een spearphishing-campagne gericht op de Amerikaanse auto-industrie om een bekende achterdeur te creëren genaamd Carbanak (ook bekend als Anunak).
“FIN7 identificeerde werknemers bij het bedrijf die op de IT-afdeling werkten en hogere niveaus van administratieve rechten hadden”, aldus het onderzoeks- en inlichtingenteam van BlackBerry in een nieuw artikel.
“Ze gebruikten de aantrekkingskracht van een gratis IP-scantool om hun bekende Anunak-achterdeur te runnen en een eerste voet aan de grond te krijgen door gebruik te maken van binaire bestanden, scripts en bibliotheken (LOLBAS).”
FIN7, ook bekend als Carbon Spider, Elbrus, Gold Niagara, ITG14, Sangria Tempest, is een bekende financieel gemotiveerde e-crime-groep met een trackrecord in het aanvallen van een breed scala aan verticale sectoren in de sector om malware te leveren die in staat is informatie te stelen van point-of-sale (PoS)-systemen sinds 2012.
De afgelopen jaren is de bedreigingsacteur overgestapt op het uitvoeren van ransomware-operaties, waarbij verschillende varianten zijn geleverd, zoals Black Basta, Cl0p, DarkSide en REvil. Twee Oekraïense leden van de groep, Fedir Hladyr en Andrii Kolpakov, zijn tot nu toe veroordeeld tot gevangenisstraffen in de VS.
De nieuwste campagne die BlackBerry eind 2023 ontdekte, begint met een spearphishing-e-mail waarin een boobytrap-link is ingesloten die naar een nepsite verwijst (“advanced-ip-scanner[.]com”) die zich voordoet als Advanced IP Scanner.
“Deze nepsite heeft doorgestuurd naar 'myipscanner[.]com', die op zijn beurt doorverwees naar Dropbox, eigendom van de aanvaller, die het kwaadaardige uitvoerbare bestand WsTaskLoad.exe downloadde naar de computer van het slachtoffer', aldus het Canadese cyberbeveiligingsbedrijf.
Het binaire bestand op zijn beurt initieert een meerfasig proces dat uiteindelijk leidt tot de uitvoering van Carbanak. Het is ook ontworpen om extra payloads zoals POWERTRASH te leveren en persistentie tot stand te brengen door OpenSSH te installeren voor externe toegang.
Het is momenteel niet bekend of de bedreigingsactoren van plan waren ransomware in te zetten, omdat het geïnfecteerde systeem al vroeg werd gedetecteerd en uit het netwerk werd verwijderd voordat het de fase van laterale beweging kon bereiken.
Hoewel het doelwit van de aanval een ‘grote multinationale autofabrikant’ was, gevestigd in de VS, zei BlackBerry dat het verschillende vergelijkbare kwaadaardige domeinen op dezelfde provider had gevonden, wat aangeeft dat deze mogelijk deel uitmaakt van een bredere campagne van FIN7.
Om de risico's van dergelijke bedreigingen te beperken, wordt organisaties aangeraden alert te zijn op phishing-pogingen, multi-factor authenticatie (MFA) in te schakelen, alle software en systemen up-to-date te houden en te monitoren op ongebruikelijke inlogpogingen.