Группировка FIN7 продает в даркнете инструмент для обхода EDR - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
19-07-2024, 00:00
Группировка FIN7 продает в даркнете инструмент для обхода EDR - «Новости»
Рейтинг:
Категория: Новости

Исследователи заметили, что хак-группа FIN7 (она же Sangria Tempest, Carbon Spider и Carbanak) продает в даркнете собственный кастомный инструмент AvNeutralizer, который используется для обхода EDR-решений в корпоративных сетях.


Напомним, что группировка FIN7 активна более десяти лет, с 2013 года. Сначала группа занималась PoS-атаками на с целью кражи платежных данных, а затем переключилась на взлом крупных компаний, распространяя вымогательское ПО.


В целом FIN7 специализируется на сложных фишинговых и инжиниринговых атаках для получения первичного доступа к корпоративным сетям. К примеру, известен случай, когда хакеры выдавали себя за компанию BestBuy и рассылали вредоносные USB-флешки своим целям.


Как рассказали на этой неделе специалисты SentinelOne, в продаже обнаружен один из кастомных инструментов FIN7 — AvNeutralizer (он же AuKill), используемый для уничтожения защитного ПО. Впервые этот инструмент был замечен в ходе вымогательских атак BlackBasta в 2022 году.


Поскольку на тот момент BlackBasta была единственной группировкой, использующей этот инструмент, исследователи полагали, что между хакерами существует некая связь. Однако со временем выяснилось, что AvNeutralizer использовался в атаках ряда других вымогательских группировок, то есть оказался распространен более широко.


«С начала 2023 года данные нашей телеметрии свидетельствуют о многочисленных атаках с использованием различных версий AvNeutralizer, — говорится в отчете исследователя SentinelOne. — Около 10 из них относятся к вымогательским атакам, которыми управляли вручную, развертывая в системах жертв такие известные RaaS, как AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit».


Дальнейшее исследование показало, что с 2022 года злоумышленники под никами goodsoft, lefroggy, killerAV и Stupor продают AV Killer на русскоязычных хак-форумах по цене от 4000 до 15 000 долларов США.





В отчете компании Sophos от 2023 года подробно описано, как AvNeutralizer/AuKill использует легитимный драйвер SysInternals Process Explorer для завершения антивирусных процессов, запущенных на устройстве. Тогда злоумышленники утверждали, что этот инструмент может использоваться для отключения любого антивирусного или EDR ПО, включая Windows Defender и продукты Sophos, SentinelOne, Panda, Elastic и Symantec.


Как теперь обнаружили аналитики SentinelOne, FIN7 обновила AVNeutralizer и использует драйвер Windows ProcLaunchMon.sys для «подвешивания» процессов, в результате чего они перестают корректно функционировать.


«AvNeutralizer использует комбинацию драйверов и операций для провоцирования сбоя в конкретных имплементациях защищенных процессов, что в конечном итоге приводит к состоянию отказа в обслуживании, — поясняют в SentinelOne. — Инструмент использует драйвер ProcLaunchMon.sys, доступный при установке системы по умолчанию в каталоге системных драйверов, в сочетании с обновленными версиями драйвера Process Explorer версии 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), который был усилен для злоупотребления межпроцессными операциями, но в настоящее время не заблокирован через список WDAC компании Microsoft».



Работа AvNeutralizer

Также в SentinelOne обнаружили дополнительные кастомные инструменты и малварь, которые используются FIN7, но не продаются другим преступникам: Powertrash (PowerShell-бэкдор), Diceloader (легкий бэкдор, контролируемый через C2), Core Impact (инструментарий для пентестинга) и бэкдор на базе SSH.


Исследователи заключают, что FIN7 по-прежнему остается серьезной угрозой для предприятий по всему миру, учитывая постоянное развитие, совершенствование инструментов и методов, а также продажу ПО другим преступникам.


Исследователи заметили, что хак-группа FIN7 (она же Sangria Tempest, Carbon Spider и Carbanak) продает в даркнете собственный кастомный инструмент AvNeutralizer, который используется для обхода EDR-решений в корпоративных сетях. Напомним, что группировка FIN7 активна более десяти лет, с 2013 года. Сначала группа занималась PoS-атаками на с целью кражи платежных данных, а затем переключилась на взлом крупных компаний, распространяя вымогательское ПО. В целом FIN7 специализируется на сложных фишинговых и инжиниринговых атаках для получения первичного доступа к корпоративным сетям. К примеру, известен случай, когда хакеры выдавали себя за компанию BestBuy и рассылали вредоносные USB-флешки своим целям. Как рассказали на этой неделе специалисты SentinelOne, в продаже обнаружен один из кастомных инструментов FIN7 — AvNeutralizer (он же AuKill), используемый для уничтожения защитного ПО. Впервые этот инструмент был замечен в ходе вымогательских атак BlackBasta в 2022 году. Поскольку на тот момент BlackBasta была единственной группировкой, использующей этот инструмент, исследователи полагали, что между хакерами существует некая связь. Однако со временем выяснилось, что AvNeutralizer использовался в атаках ряда других вымогательских группировок, то есть оказался распространен более широко. «С начала 2023 года данные нашей телеметрии свидетельствуют о многочисленных атаках с использованием различных версий AvNeutralizer, — говорится в отчете исследователя SentinelOne. — Около 10 из них относятся к вымогательским атакам, которыми управляли вручную, развертывая в системах жертв такие известные RaaS, как AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit». Дальнейшее исследование показало, что с 2022 года злоумышленники под никами goodsoft, lefroggy, killerAV и Stupor продают AV Killer на русскоязычных хак-форумах по цене от 4000 до 15 000 долларов США. В отчете компании Sophos от 2023 года подробно описано, как AvNeutralizer/AuKill использует легитимный драйвер SysInternals Process Explorer для завершения антивирусных процессов, запущенных на устройстве. Тогда злоумышленники утверждали, что этот инструмент может использоваться для отключения любого антивирусного или EDR ПО, включая Windows Defender и продукты Sophos, SentinelOne, Panda, Elastic и Symantec. Как теперь обнаружили аналитики SentinelOne, FIN7 обновила AVNeutralizer и использует драйвер Windows ProcLaunchMon.sys для «подвешивания» процессов, в результате чего они перестают корректно функционировать. «AvNeutralizer использует комбинацию драйверов и операций для провоцирования сбоя в конкретных имплементациях защищенных процессов, что в конечном итоге приводит к состоянию отказа в обслуживании, — поясняют в SentinelOne. — Инструмент использует драйвер ProcLaunchMon.sys, доступный при установке системы по умолчанию в каталоге системных драйверов, в сочетании с обновленными версиями драйвера Process Explorer версии 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), который был усилен для злоупотребления межпроцессными операциями, но в настоящее время не заблокирован через список WDAC компании Microsoft». Работа AvNeutralizer Также в SentinelOne обнаружили дополнительные кастомные инструменты и малварь, которые используются FIN7, но не продаются другим преступникам: Powertrash (PowerShell-бэкдор), Diceloader (легкий бэкдор, контролируемый через C2), Core Impact (инструментарий для пентестинга) и бэкдор на базе SSH. Исследователи заключают, что FIN7 по-прежнему остается серьезной угрозой для предприятий по всему миру, учитывая постоянное развитие, совершенствование инструментов и методов, а также продажу ПО другим преступникам.

Теги: Новости, AuKill, AvNeutralizer

Просмотров: 72
Комментариев: 0:   19-07-2024, 00:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: