{"id":4415,"date":"2023-07-19T10:55:27","date_gmt":"2023-07-19T09:55:27","guid":{"rendered":"https:\/\/soc.dag.pl\/?p=4415"},"modified":"2023-08-30T16:31:07","modified_gmt":"2023-08-30T15:31:07","slug":"jak-namierzyc-hakerow-fin7-powiazana-z-kolejnymi-atakami-ransomware","status":"publish","type":"post","link":"https:\/\/soc.dag.pl\/jak-namierzyc-hakerow-fin7-powiazana-z-kolejnymi-atakami-ransomware\/","title":{"rendered":"Jak namierzy\u0107 haker\u00f3w? FIN7 powi\u0105zana z kolejnymi atakami ransomware"},"content":{"rendered":"

Hakerzy zdaj\u0105 si\u0119 nieuchwytni, ale cz\u0119sto pozostawiaj\u0105 po sobie \u015blady, dzi\u0119ki kt\u00f3rym analitycy rozpoznaj\u0105 dzia\u0142ania konkretnych grup.<\/p>\n

 <\/p>\n

Podczas badania przypadku ransomware grupy hakerskiej BlackBasta analitycy z SentinelOne znale\u017ali powi\u0105zania mi\u0119dzy t\u0105 grup\u0105 a grup\u0105 hakersk\u0105 FIN7. \u015alady aktywno\u015bci FIN7 znale\u017ali r\u00f3wnie\u017c w raporcie.<\/p>\n

Jak do tego doszli? Badacze znale\u017ali nazwy plik\u00f3w zwi\u0105zane z nazewnictwem Autocada. Z\u0142o\u015bliwy \u0142a\u0144cuch by\u0142 uruchamiany za pomoc\u0105 nast\u0119puj\u0105cego polecenia:
\ncmd.exe \/c “”D:\\presentation.cmd” ”<\/p>\n

Skrypt ten zawiera\u0142 wszystkie polecenia wymagane do wywo\u0142ania proces\u00f3w \u0142a\u0144cucha infekcji.<\/p>\n

autocad.exe -decodehex scheme_view.txt c:\\windows\\temp\\scheme_view[.]ps1<\/p>\n

Binarny program autocad.exe to zmieniona nazwa narz\u0119dzia certutil.exe. Parametr -decodehex przyjmuje jako dane wej\u015bciowe plik zakodowany w formacie heksadecymalnym i zapisuje jego czyst\u0105 zawarto\u015b\u0107 w okre\u015blonej \u015bcie\u017cce wyj\u015bciowej. Zdekodowany plik scheme_view[.]ps1 jest skryptem PowerShell, kt\u00f3ry jest wykonywany wkr\u00f3tce potem za pomoc\u0105 wiersza polece\u0144:<\/p>\n

powershell.exe -w h -nop -ep bypass -file c:\\windows\\temp\\scheme_view[.]ps1<\/p>\n

Proces ten zachowywa\u0142 si\u0119 jak implant C2 (serwer Command & Control) i \u0142\u0105czy\u0142 si\u0119 z IP 45[.]133[.]216[.]39 na porcie 443.<\/p>\n

IP 45[.]133[.]216[.]39 jest hostowane na “pq[.]hosting”, co jest cz\u0119stym trendem w infrastrukturze wykorzystywanej przez FIN7 w ich ostatnich dzia\u0142aniach. Tak wi\u0119c ta wabi\u0105ca kampania Autocad zosta\u0142a przypisana grupie hakerskiej FIN7.<\/p>\n

 <\/p>\n

Nasze produkty wykrywaj\u0105 wy\u017cej opisane zagro\u017cenia, a w razie potrzeby wysy\u0142aj\u0105 odpowiednie komunikaty o naruszeniu zabezpiecze\u0144. Zakup kt\u00f3regokolwiek z naszych pakiet\u00f3w nie tylko podnosi bezpiecze\u0144stwo firmy, lecz tak\u017ce daje dost\u0119p do pe\u0142nej wersji tego oraz innych specjalistycznych artyku\u0142\u00f3w z tematyki cyberbezpiecze\u0144stwa, zamieszczonych w konsoli XDR.<\/p>\n","protected":false},"excerpt":{"rendered":"

Hakerzy zdaj\u0105 si\u0119 nieuchwytni, ale cz\u0119sto pozostawiaj\u0105 po sobie \u015blady, dzi\u0119ki kt\u00f3rym analitycy rozpoznaj\u0105 dzia\u0142ania konkretnych grup.   Podczas badania przypadku ransomware grupy hakerskiej BlackBasta analitycy z SentinelOne znale\u017ali powi\u0105zania mi\u0119dzy t\u0105 grup\u0105 a grup\u0105 hakersk\u0105 FIN7. \u015alady aktywno\u015bci FIN7 znale\u017ali r\u00f3wnie\u017c w raporcie. Jak do tego doszli? Badacze znale\u017ali nazwy plik\u00f3w zwi\u0105zane z nazewnictwem […]<\/p>\n","protected":false},"author":4,"featured_media":4345,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[57,18],"tags":[79],"class_list":["post-4415","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security","category-hacking","tag-cyberochrona"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4415"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=4415"}],"version-history":[{"count":1,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4415\/revisions"}],"predecessor-version":[{"id":4416,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4415\/revisions\/4416"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/4345"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=4415"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=4415"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=4415"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}