Kể từ khi xuất hiện vào giữa năm 2010, FIN7 đã nổi tiếng với các chiến dịch quy mô lớn nhắm vào hệ thống điểm bán hàng (POS), các nhà hàng, sòng bạc và khách sạn bằng phần mềm độc hại để đánh cắp thẻ tín dụng.
Các chuyên gia của Công ty phản ứng sự cố Mandiant cho biết: “Bất chấp các cáo buộc đối của thành viên FIN7 vào năm 2018 và bản án liên quan vào năm 2021 do Bộ Tư pháp Hoa Kỳ công bố, ít nhất một số thành viên của FIN7 vẫn hoạt động tích cực và tiếp tục phát triển các hoạt động tội phạm của chúng. Trong suốt quá trình, FIN7 đã đẩy mạnh tiến độ hoạt động, phạm vi mục tiêu và thậm chí là quan hệ của chúng với các hoạt động ransomware khác trong thế giới ngầm tội phạm mạng”.
Ngoài ra, Công ty còn thông báo trong một phân tích: "FIN7 được coi là đã thực hiện lây nhiễm mã độc để tống tiền, đánh cắp dữ liệu, phát tán ransomware tại nhiều tổ chức. Các kết quả đánh giá cho thấy rằng nhóm tin tặc FIN7 có liên quan đến các hoạt động ransomware khác nhau".
Một cửa hậu PowerShell có tên PowerPlant đã được FIN7 sử dụng trong nhiều năm, các chuyên gia của Mandiant đã khẳng định chắc rằng PowerShell là ngôn ngữ ưa thích của FIN7 và có rất nhiều biến thể vẫn tiếp tục phát triển.
FIN7 điều chỉnh chức năng và thêm các tính năng mới vào PowerPlant, đồng thời tung ra phiên bản mới khi đang hoạt động. Trong quá trình cài đặt, PowerPlant nhận được các mô-đun khác nhau từ máy chủ thực thi và điều khiển. Hai mô-đun được sử dụng phổ biến nhất được gọi là Easylook và Boatlaunch.
Easyloook là một tiện ích do thám mà FIN7 đã sử dụng trong ít nhất hai năm để thu thập thông tin mạng và hệ thống như phần cứng, tên người dùng, khóa đăng ký, phiên bản hệ điều hành, thông tin miền...
Boatlaunch là một mô-đun trợ giúp vá các quy trình PowerShell trên các hệ thống bị xâm phạm bằng chuỗi lệnh năm byte để vượt qua phần mềm chống mã độc hại của Windows (Malware Scanning Interface - AMSI).
Một phát hiện mới là phiên bản cập nhật của trình tải xuống Birdwatch, hiện có hai biến thể là Crowview và Fowlgaze. Cả hai phiên bản đều được viết bằng .NET, nhưng không giống như Birdwatch, chúng có khả năng tự xóa, đi kèm với payload tích hợp và hỗ trợ các đối số bổ sung.
Một điều thú vị khác là sự tham gia của FIN7 trong các nhóm ransomware khác nhau. Đặc biệt, các nhà phân tích đã tìm thấy bằng chứng về các vụ tấn công thực hiện bởi FIN7 được phát hiện ngay trước sự cố ransomware như Maze, Ryuk, Darkside và BlackCat/ ALPHV.
Đơn vị Tư vấn Gemini của Recorded Future (Hòa Kỳ) đã có một báo cáo vào tháng 10/2021 về sự thay đổi chiến lược kiếm tiền của FIN7 đối với ransomware, chúng đã thành lập một công ty ma có tên Bastion Secure để tuyển dụng những người kiểm tra việc thâm nhập không chủ ý để khai thác tấn công bằng ransomware.
Sau đó vào đầu tháng 1/2022, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã ban hành cảnh báo Flash cho các tổ chức rằng băng nhóm đang gửi các ổ USB độc hại (hay còn gọi là BadUSB) tới các mục tiêu kinh doanh của Hoa Kỳ trong ngành vận tải, bảo hiểm và quốc phòng để làm lây nhiễm phần mềm độc hại, bao gồm cả ransomware.
Một trong các cuộc tấn công, việc theo dõi FIN7 xâm nhập một trang web bán các sản phẩm kỹ thuật số, điều chỉnh nhiều liên kết tải xuống để khiến chúng trỏ đến máy chủ Amazon S3 lưu trữ các phiên bản trojanized có chứa Atera Agent - một công cụ quản lý từ xa hợp pháp. Sau đó, FIN7 âm thầm đưa mã độc PowerPlant vào hệ thống của nạn nhân.
Lê Yến
Lê Yến (tổng hợp)
20:00 | 13/03/2022
15:00 | 19/01/2022
16:00 | 13/07/2021
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
15:00 | 15/11/2023
VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024