De financieel gemotiveerde dreigingsactor die bekendstaat als FIN7, is gesignaleerd terwijl hij meerdere pseudoniemen gebruikte op verschillende ondergrondse fora. Waarschijnlijk om reclame te maken voor een tool die bekendstaat om het gebruik ervan door ransomware-groepen zoals Black Basta.
“AvNeutralizer (ook bekend als AuKill), een zeer gespecialiseerde tool die is ontwikkeld door FIN7 om beveiligingsoplossingen te manipuleren, wordt in de criminele wereld op de markt gebracht en door meerdere ransomware-groepen gebruikt”, aldus cybersecuritybedrijf SentinelOne in een rapport dat is gedeeld met The Hacker News.
FIN7, een e-crimegroep van Russische en Oekraïense oorsprong, vormt al sinds 2012 een hardnekkige bedreiging. De groep richtte zich aanvankelijk niet meer op verkooppuntterminals (PoS), maar is nu actief als ransomware-partner voor inmiddels ter ziele gegane bendes als REvil en Conti. Later lanceerde de groep ook haar eigen ransomware-as-a-service (RaaS)-programma’s DarkSide en BlackMatter.
De dreigingsactor, die ook wordt gevolgd onder de namen Carbanak, Carbon Spider, Gold Niagara en Sangria Tempest (voorheen Elbrus), heeft een staat van dienst in het opzetten van dekmantelbedrijven zoals Combi Security en Bastion Secure om nietsvermoedende softwareontwikkelaars te rekruteren voor ransomware-aanvallen onder het voorwendsel van penetratietesten.
In de loop der jaren heeft FIN7 een hoog niveau van aanpassingsvermogen, verfijning en technische expertise getoond door zijn malware-arsenaal opnieuw uit te rusten: POWERTRASH, DICELOADER (ook bekend als IceBot, Lizar of Tirion) en een penetratietesttool genaamd Core Impact die wordt geleverd via de POWERTRASH-loader. Dit ondanks de arrestaties en veroordelingen van enkele van zijn leden.
Dit blijkt uit een recent rapport van Silent Push, waarin de groep grootschalige phishingcampagnes uitvoert om ransomware en andere malwarefamilies te verspreiden door duizenden ‘shell’-domeinen te implementeren die legitieme media- en technologiebedrijven nabootsen.
Deze shell-domeinen worden ook wel eens gebruikt in een conventionele omleidingsketen om gebruikers naar vervalste inlogpagina’s te sturen die zich voordoen als portals voor vastgoedbeheer.
Deze typosquat-versies worden geadverteerd op zoekmachines zoals Google, en misleiden gebruikers die zoeken naar populaire software om in plaats daarvan een variant met malware te downloaden. Enkele van de tools die het doelwit zijn, zijn 7-Zip, PuTTY, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text en Node.js.
Het is vermeldenswaard dat het gebruik van malvertisingtactieken door FIN7 eerder al door zowel eSentire als Malwarebytes werd benadrukt in mei 2024, waarbij de aanvalsketens leidden tot de implementatie van NetSupport RAT.
“FIN7 huurt een groot aantal speciale IP’s op een aantal hosts, maar voornamelijk op Stark Industries, een populaire, waterdichte hostingprovider die in verband wordt gebracht met DDoS-aanvallen in Oekraïne en elders in Europa”, aldus Silent Push.
Uit de laatste bevindingen van SentinelOne blijkt dat FIN7 niet alleen verschillende persona’s op cybercrimeforums heeft gebruikt om de verkoop van AvNeutralizer te promoten, maar dat het de tool ook heeft geïmproviseerd met nieuwe mogelijkheden.
Dit is gebaseerd op het feit dat meerdere ransomwaregroepen vanaf januari 2023 bijgewerkte versies van het EDR-impairmentprogramma zijn gaan gebruiken, dat tot dan toe uitsluitend door de Black Basta-groep werd gebruikt.
Antonio Cocomazzi, onderzoeker bij SentinelLabs, vertelde The Hacker News dat de reclame voor AvNeutralizer op ondergrondse forums niet gezien moet worden als een nieuwe malware-as-a-service (MaaS)-tactiek die door FIN7 is overgenomen zonder aanvullend bewijs.
“FIN7 heeft een geschiedenis van het ontwikkelen en gebruiken van geavanceerde tools voor hun eigen operaties,” zei Cocomazzi. “Echter, het verkopen van tools aan andere cybercriminelen kan worden gezien als een natuurlijke evolutie van hun methoden om te diversifiëren en extra inkomsten te genereren.”
“Historisch gezien heeft FIN7 ondergrondse marktplaatsen gebruikt om inkomsten te genereren. Zo meldde het DoJ dat FIN7 sinds 2015 met succes gegevens van meer dan 16 miljoen betaalpassen heeft gestolen, waarvan er veel op ondergrondse marktplaatsen zijn verkocht. Hoewel dit vaker voorkwam in het pre-ransomware-tijdperk, zou de huidige advertentie van AvNeutralizer een verschuiving of uitbreiding van hun strategie kunnen signaleren.”
“Dit zou kunnen worden gemotiveerd door de toenemende bescherming die EDR-oplossingen tegenwoordig bieden in vergelijking met eerdere AV-systemen. Naarmate deze verdedigingen zijn verbeterd, is de vraag naar hulpmiddelen voor beperking zoals AvNeutralizer aanzienlijk toegenomen, vooral onder ransomware-operators. Aanvallers worden nu geconfronteerd met grotere uitdagingen bij het omzeilen van deze bescherming, waardoor dergelijke hulpmiddelen zeer waardevol en duur zijn.”
De bijgewerkte versie van AvNeutralizer gebruikt op zijn beurt anti-analysetechnieken en, belangrijker nog, maakt gebruik van een ingebouwde Windows-driver genaamd “ProcLaunchMon.sys” in combinatie met de Process Explorer-driver om de werking van beveiligingsoplossingen te manipuleren en detectie te omzeilen. Er wordt aangenomen dat de tool sinds april 2022 actief in ontwikkeling is.
Een vergelijkbare versie van deze aanpak wordt ook gebruikt door de Lazarus Group. Deze aanpak is daardoor nog gevaarlijker, omdat deze verder gaat dan de traditionele BYOVD-aanval (Bring Your Own Vulnerable Driver), door een kwetsbare driver die al standaard op Windows-machines aanwezig is, als wapen te gebruiken.
Een andere opmerkelijke update betreft het Checkmarks-platform van FIN7, dat is aangepast om een geautomatiseerde SQL-injectie-aanvalsmodule te bevatten voor het exploiteren van openbare applicaties.
“In zijn campagnes heeft FIN7 geautomatiseerde aanvalsmethoden aangenomen, gericht op openbare servers via geautomatiseerde SQL-injectieaanvallen,” aldus SentinelOne. “Bovendien vergroten de ontwikkeling en commercialisering van gespecialiseerde tools zoals AvNeutralizer binnen criminele ondergrondse fora de impact van de groep aanzienlijk.”
