Новый бэкдор Anubis от FIN7: угроза для финансового сектора

Источник: www.gdatasoftware.com
Группа киберпреступников FIN7 представила новый бэкдор на базе Python под названием AnubisBackdoor, который расширяет их и без того сложный набор инструментов, предназначенный для атак на финансовый сектор и гостиничный бизнес. С момента своего появления в 2015 году, FIN7 заработала дурную репутацию, нанося значительный глобальный финансовый ущерб с помощью пользовательских вредоносных программ и тактик социальной инженерии.
Механизм распространения и структура атаки
AnubisBackdoor распространяется с помощью фишинговых кампаний, использующих ZIP-архивы, содержащие несколько файлов на Python. В этом архиве основной вредоносный скрипт называется conf.py. Анализ этого скрипта выявил многоэтапную структуру атаки с использованием класса дешифрования, что облегчает развертывание бэкдора.
Методы маскировки и снижения обнаруживаемости
Вредоносная полезная нагрузка шифруется с использованием алгоритма AES в режиме CBC. При этом строки запутываются и разделяются с помощью уникального разделителя для извлечения ключа шифрования. Рассматриваемый бэкдор выполняется во временном файле, который создается динамически и удаляется после выполнения, что значительно снижает риск обнаружения.
Ключевые аспекты маскировки:
- Использование прокси-серверов для сети управляемого доступа (C2) по протоколу HTTP.
- Кодирование сетевого трафика с помощью Base64 и уникальной схемы подстановки.
- Сохранение конфигураций C2 в реестре Windows, зашифрованных с помощью ключа, полученного из идентификатора агента и имени компьютера жертвы.
Функциональные возможности AnubisBackdoor
Бэкдор Anubis предоставляет различные функциональные возможности, включая:
- Проверку среды выполнения.
- Динамическое обновление конфигурации.
- Возможность выполнения команд через эффективный командный протокол.
- Механизм загрузки файлов для внедрения дополнительных инструментов или вредоносного ПО в скомпрометированные системы.
Заключение
AnubisBackdoor демонстрирует эволюцию подхода FIN7 к кибератакам, используя Python для создания инструмента скрытого удаленного доступа, который эффективно интегрируется с законными операциями Windows. Его возможности в области системных манипуляций, эксфильтрации данных и оперативной гибкости подчеркивают изощренность и адаптивность этого постоянного хакера.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



