Новый бэкдор Anubis от FIN7: угроза для финансового сектора

Новый бэкдор Anubis от FIN7: угроза для финансового сектора

Источник: www.gdatasoftware.com

Группа киберпреступников FIN7 представила новый бэкдор на базе Python под названием AnubisBackdoor, который расширяет их и без того сложный набор инструментов, предназначенный для атак на финансовый сектор и гостиничный бизнес. С момента своего появления в 2015 году, FIN7 заработала дурную репутацию, нанося значительный глобальный финансовый ущерб с помощью пользовательских вредоносных программ и тактик социальной инженерии.

Механизм распространения и структура атаки

AnubisBackdoor распространяется с помощью фишинговых кампаний, использующих ZIP-архивы, содержащие несколько файлов на Python. В этом архиве основной вредоносный скрипт называется conf.py. Анализ этого скрипта выявил многоэтапную структуру атаки с использованием класса дешифрования, что облегчает развертывание бэкдора.

Методы маскировки и снижения обнаруживаемости

Вредоносная полезная нагрузка шифруется с использованием алгоритма AES в режиме CBC. При этом строки запутываются и разделяются с помощью уникального разделителя для извлечения ключа шифрования. Рассматриваемый бэкдор выполняется во временном файле, который создается динамически и удаляется после выполнения, что значительно снижает риск обнаружения.

Ключевые аспекты маскировки:

  • Использование прокси-серверов для сети управляемого доступа (C2) по протоколу HTTP.
  • Кодирование сетевого трафика с помощью Base64 и уникальной схемы подстановки.
  • Сохранение конфигураций C2 в реестре Windows, зашифрованных с помощью ключа, полученного из идентификатора агента и имени компьютера жертвы.

Функциональные возможности AnubisBackdoor

Бэкдор Anubis предоставляет различные функциональные возможности, включая:

  • Проверку среды выполнения.
  • Динамическое обновление конфигурации.
  • Возможность выполнения команд через эффективный командный протокол.
  • Механизм загрузки файлов для внедрения дополнительных инструментов или вредоносного ПО в скомпрометированные системы.

Заключение

AnubisBackdoor демонстрирует эволюцию подхода FIN7 к кибератакам, используя Python для создания инструмента скрытого удаленного доступа, который эффективно интегрируется с законными операциями Windows. Его возможности в области системных манипуляций, эксфильтрации данных и оперативной гибкости подчеркивают изощренность и адаптивность этого постоянного хакера.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: