Jak namierzyć hakerów? FIN7 powiązana z kolejnymi atakami ransomware

Hakerzy zdają się nieuchwytni, ale często pozostawiają po sobie ślady, dzięki którym analitycy rozpoznają działania konkretnych grup.

Podczas badania przypadku ransomware grupy hakerskiej BlackBasta analitycy z SentinelOne znaleźli powiązania między tą grupą a grupą hakerską FIN7. Ślady aktywności FIN7 znaleźli również w raporcie.

Jak do tego doszli? Badacze znaleźli nazwy plików związane z nazewnictwem Autocada. Złośliwy łańcuch był uruchamiany za pomocą następującego polecenia:
cmd.exe /c “”D:\presentation.cmd” ”

Skrypt ten zawierał wszystkie polecenia wymagane do wywołania procesów łańcucha infekcji.

autocad.exe -decodehex scheme_view.txt c:\windows\temp\scheme_view[.]ps1

Binarny program autocad.exe to zmieniona nazwa narzędzia certutil.exe. Parametr -decodehex przyjmuje jako dane wejściowe plik zakodowany w formacie heksadecymalnym i zapisuje jego czystą zawartość w określonej ścieżce wyjściowej. Zdekodowany plik scheme_view[.]ps1 jest skryptem PowerShell, który jest wykonywany wkrótce potem za pomocą wiersza poleceń:

powershell.exe -w h -nop -ep bypass -file c:\windows\temp\scheme_view[.]ps1

Proces ten zachowywał się jak implant C2 (serwer Command & Control) i łączył się z IP 45[.]133[.]216[.]39 na porcie 443.

IP 45[.]133[.]216[.]39 jest hostowane na “pq[.]hosting”, co jest częstym trendem w infrastrukturze wykorzystywanej przez FIN7 w ich ostatnich działaniach. Tak więc ta wabiąca kampania Autocad została przypisana grupie hakerskiej FIN7.

Nasze produkty wykrywają wyżej opisane zagrożenia, a w razie potrzeby wysyłają odpowiednie komunikaty o naruszeniu zabezpieczeń. Zakup któregokolwiek z naszych pakietów nie tylko podnosi bezpieczeństwo firmy, lecz także daje dostęp do pełnej wersji tego oraz innych specjalistycznych artykułów z tematyki cyberbezpieczeństwa, zamieszczonych w konsoli XDR.