Nhóm hacker FIN7 lợi dụng việc tái sử dụng mật khẩu nhằm tấn công chuỗi cung ứng phần mềm

15-4-2022 General Security News Security Daily 286

Những nghiên cứu mới đã tiết lộ rằng nhóm tội phạm mạng khét tiếng FIN7 đã đa dạng hóa các hướng truy cập ban đầu nhằm kết hợp lợi dụng các lỗ hổng trong chuỗi cung ứng phần mềm và sử dụng thông tin đăng nhập bị đánh cắp.



Công ty phản ứng sự cố Mandiant cho biết trong một phân tích hôm thứ hai rằng: “Việc tống tiền các dữ liệu bị đánh cắp hoặc việc triển khai ransomware sau những hoạt động do FIN7 thực hiện nhắm vào nhiều tổ chức, cũng như những điểm giống nhau về kỹ thuật, cho thấy rằng FIN7 có liên quan đến các hoạt động ransomware khác nhau”.



Kể từ khi xuất hiện vào giữa những năm 2010, nhóm tội phạm mạng này đã nổi tiếng với các chiến dịch mã độc quy mô lớn nhắm vào hệ thống bán hàng (POS) ở các nhà hàng, sòng bạc và khách sạn bằng malware ăn cắp thẻ tín dụng.



Sự thay đổi chiến lược kiếm tiền của FIN7 sang ransomware xảy ra sau một báo cáo tháng 10/2021 từ đơn vị Tư vấn Gemini của Recorded Future. Báo cáo này cho thấy nhóm tin tặc thiết lập một công ty bình phong giả mạo có tên gọi Bastion Secure nhằm tuyển dụng những người kiểm tra thâm nhập không chủ ý trong giai đoạn chuẩn bị của một cuộc tấn công bằng ransomware.



Sau đó vào đầu tháng 1 này, Cục Điều tra Liên bang Mỹ (FBI) đã ban hành một cảnh báo tới các tổ chức rằng nhóm này đang phát tán các ổ USB độc hại (hay còn gọi là BadUSB ) tới các công ty của Mỹ trong ngành vận tải, bảo hiểm và quốc phòng nhằm lây nhiễm hệ thống với mã độc, bao gồm cả ransomware.



Các cuộc tấn công gần đây do nhóm này thực hiện kể từ năm 2020 đã liên quan đến việc triển khai một khung backdoor PowerShell rộng lớn được gọi là POWERPLAN. Điều này tiếp tục xu hướng sử dụng mã độc dựa trên PowerShell cho các hoạt động tấn công của nhóm.



Chuyên gia của Madiant cho hay: “PowerShell chính là ngôn ngữ ưa thích của FIN7, không có nghi ngờ gì về điều đó”.



Trong một trong các cuộc tấn công, FIN7 đã được quan sát thấy đã xâm nhập một trang web bán các sản phẩm kỹ thuật số nhằm điều chỉnh nhiều đường link download để khiến chúng chuyển đến một thùng chứa các phiên bản bị trojan hóa của Amazon S3 có chứa Atera Agent, một công cụ quản lý từ xa hợp pháp, qua đó phát tán POWERPLANT vào hệ thống của nạn nhân.



Cuộc tấn công nhắm vào chuỗi cung ứng cũng đánh dấu sự phát triển của nhóm đối với quyền truy cập ban đầu và việc triển khai các malware ở giai đoạn đầu, thường là tập trung vào việc lừa đảo phishing.



Các công cụ khác được nhóm này sử dụng để tạo điều kiện cho việc xâm nhập của mình bao gồm EASYLOOK, một tiện ích do thám; BOATLAUNCH, một mô-đun trợ giúp được thiết kế để vượt qua Giao diện quét chống mã độc của Windows (AMSI); và BIRDWATCH, một trình tải xuống dựa trên .NET được sử dụng để tìm và thực thi các tệp nhị phân giai đoạn tiếp theo nhận được qua HTTP.



Các chuyên gia của Mandiant cho biết: “Bất chấp các cáo buộc với các thành viên FIN7 vào năm 2018 và bản án liên quan vào năm 2021 do Bộ Tư pháp Hoa Kỳ công bố, ít nhất một số thành viên của FIN7 vẫn hoạt động tích cực và tiếp tục phát triển các hoạt động tội phạm của họ theo thời gian”.



“Trong suốt quá trình phát triển của mình, FIN7 đã tăng tốc tiến độ hoạt động, phạm vi mục tiêu và thậm chí có thể là mối quan hệ của họ với các hoạt động ransomware khác trong thế giới ngầm của tội phạm mạng”.



Theo Thehackernews
The post Nhóm hacker FIN7 lợi dụng việc tái sử dụng mật khẩu nhằm tấn công chuỗi cung ứng phần mềm appeared first on SecurityDaily .
Read The Rest

Related News

All Rights Reserved VTC Security News
Infomation Security Team