FIN7 Хакеры BIOLOAD Вредоносные капли Fresher Carbanak Backdoor

Ионут Илашку
  • 27 декабря 2019 г.
  • 11:31 утра
  • 0

Исследователи вредоносного ПО обнаружили новый инструмент, используемый финансово-мотивированной группой киберпреступников, известной как FIN7, для загрузки более свежих сборок черного хода Carbanak.

Названный BIOLOAD, загрузчик вирусов и троянов имеет низкую частоту обнаружения и имеет сходство с BOOSTWRITE, другим загрузчиком, недавно идентифицированным как часть арсенала FIN7.

Злоупотребление законными методами Windows

Вредоносная программа использует технику, называемую бинарной установкой, которая использует метод, используемый Windows для поиска библиотек DLL, необходимых для загрузки в программу. Таким образом, злоумышленник может повысить привилегии в системе или добиться постоянства.

Платформа безопасности enSilo для конечных точек компании Fortinet блокирует вредоносную нагрузку в законных процессах Windows. точно, он обнаружил вредоносную DLL в FaceFodUninstaller.exe, которая существует в чистых установках ОС, начиная с Windows 10 1803.

«Что делает этот исполняемый файл еще более привлекательным в глазах злоумышленника, так это тот факт, что он запускается из встроенной запланированной задачи с именем FODCleanupTask, что сводит к минимуму использование компьютера и снижает вероятность обнаружения». Fortinet

Злоумышленник помещает вредоносный файл WinBio.dll в папку «\ System32 \ WinBioPlugIns», в которой находится легитимная библиотека DLL «winbio».

Fortinet обнаружил сходство между BIOLOAD и BOOSTWRITE, пипеткой только для памяти, ранее проанализированной FireEye. Это характерно для них обоих, как встроенная зашифрованная DLL полезной нагрузки.

Аналогично более новому погрузчику FIN7

Согласно анализу Fortinet, образцы BIOLOAD были собраны в марте и июле 2019 года, а дата BOOSTWRITE. с мая.

Исследователи также заметили некоторые различия. Во-первых, BIOLOAD не поддерживает несколько полезных нагрузок; другое. использование XOR для расшифровки полезной нагрузки вместо шифра ChaCha.

Соединение с удаленным сервером для ключа дешифрования также не происходит с BIOLOAD, потому что он настроен для каждой системы-жертвы и получает ключ дешифрования из своего имени.

Несмотря на 9-месячную дату компиляции, обнаружение BIOLOAD в основном не обнаружено. На момент написания этой статьи только девять из 68 антивирусных ядер на платформе сканирования VirusTotal распознавали WinBio.dll как вредоносную.

Что касается полезной нагрузки, сброшенной на скомпрометированных системах, то это более новая версия бэкдора Carbanak с метками времени с января по апрель 2019 года.

FIN7 Хакеры BIOLOAD Вредоносные капли Fresher Carbanak Backdoor

Существенным изменением в этих примерах является то, что они проверяют больше антивирусных решений, работающих на зараженных компьютерах, чем предыдущие, которые проверяли только для Kaspersky, AVG и TrendMicro.

Основываясь на сходствах кода, используемых методах и бэкдоре, Fortinet приписывает BIOLOAD группе киберпреступлений FIN7. Исследователи полагают, что, основываясь на датах компиляции вредоносного ПО и его поведении, этот загрузчик является предшественником BOOSTWRITE.

Вредоносные программы, выявленные исследователями, показывают, что FIN7 активно разрабатывает инструменты для удаления своих бэкдоров. В то время как BIOLOAD использовался для загрузки Carbanak на зараженный хост, более поздний загрузчик BOOSTWRITE также использовался для доставки RDFSNIFFER, инструмента удаленного доступа, для «взлома» экземпляров клиентского приложения NCR Aloha Command Center и взаимодействия с системами-жертвами с помощью существующих законных сеансов 2FA. «.

You may also like