FIN6 Group диверсифицирует деятельность, использует LockerGoga и Ryuk Ransomware

Ионут Илашку
  • 5 апреля 2019 г.
  • 6:46 вечера
  • 0

Группа по киберпреступности FIN6 сделала шаг к усилению монетизации своих вторжений и добавила вымогателей в свой портфель, выбрав LockerGoga и Ryuk для шифрования файлов для заданий по вымогательству.

Эта банда известна своими компрометациями в торговых точках (PoS), но недавние расследования реагирования на инциденты показывают, что FIN6 расширил свою деятельность и на другие типы целей.

Исследователи угроз в FireEye проанализировали вторжение в клиента в машиностроительной отрасли, и хотя свидетельства указывают на атаку FIN6, характер цели не соответствовал исторической информации о жертвах группы.

Сдвиг бизнеса для увеличения монетизации

Информация, полученная в результате отдельных расследований инцидентов в Рюке и Локергоге, позволила исследователям приписать эти атаки FIN6 или некоторым его членам, работающим независимо.

Похожие записи

Google Chrome с самого начала ​​использовался вмес... Google объявил сегодня, что нулевой день Chrome, который компания исправила на прошлой неделе, фактически использовался вместе со вторым, нулевой день...
Советы родителям Как использовать телефон для упра... Вот как настроить родительский контроль на телефоне, настроить таймеры и даже отключить детей от игры. Ваш Nintendo Switch имеет родительский контрол...
Как использовать лучшую новую функцию Gmail на 201... РИП Бумеранг. Новая функция планирования Gmail уже здесь. Новая функция Gmail позволяет планировать электронную почту. Google убил Inbox, что было, ...

FireEye отследил эти вторжения вымогателей до июля 2018 года, и с ростом их частоты атаки на PoS-среды, запускающие вредоносное ПО TRINITY, прекратились.

FireEye сообщает, что компании, ставшие жертвами новых вымогательств группы, потеряли десятки миллионов долларов в опубликованном сегодня сообщении в блоге.

Исследователи отмечают, что Исходя из тактических различий между этими инцидентами с вымогателями и историческими действиями FIN6, также возможно, что некоторые операторы FIN6 осуществляли вторжения с использованием вымогателей независимо от нарушений платежных карт группы.

Бегущая разведка

После проникновения в сеть жертвы киберпреступники начинают разведывательную деятельность с использованием украденных учетных данных, инструмента Cobalt Strike для проведения оценок безопасности, программного обеспечения для тестирования на основе пиков Metasploit и свободно доступных инструментов AdFind и программы сжатия файлов 7-Zip.

Боковое перемещение осуществляется через протокол удаленного рабочего стола Windows (RDP). Как только соединение установлено, субъект угрозы полагается на два метода для продолжения.

Похожие записи

Как использовать лучшую новую функцию Gmail на 201... РИП Бумеранг. Новая функция планирования Gmail уже здесь. Новая функция Gmail позволяет планировать электронную почту. Google убил Inbox, что было, ...
Сингапурская школа использует HoloLens от Microsof... Учащиеся Школы Полумесяца для девочек узнают о влиянии радиации на биологию в смешанной реальности. Учащиеся Школы Полумесяца для Девочек в Сингапуре...
Советы родителям Как использовать телефон для упра... Вот как настроить родительский контроль на телефоне, настроить таймеры и даже отключить детей от игры. Ваш Nintendo Switch имеет родительский контрол...

Он может использовать PowerShell для выполнения закодированной команды, чтобы добавить Cobalt Strike в скомпрометированную систему и выполнить цепочку полезных нагрузок до получения окончательной. FireEye не смог проанализировать последний вредоносный файл от злоумышленника, поскольку он больше не размещался.

Второй метод FIN6 заключается в создании случайных служб Windows (побочный продукт использования Metasploit) для выполнения закодированной команды PowerShell, которая включает обратный HTTP-шелл-код.

Следующим шагом является установление связи с сервером управления и контроля (C2) с шелл-код, который сделает HTTPS-запрос на дополнительную загрузку.

Перемещение по сети выполняется после запроса Active Directory с помощью AdFind. Затем 7-Zip используется для сжатия данных перед их эксфильтрацией на сервер C2.

Преступные операции и отношения легко адаптируются, поэтому мы обычно сталкиваемся с такими проблемами приписывания в отношении преступной деятельности. Учитывая, что эти вторжения были продолжены в течение почти года, мы ожидаем, что дальнейшее изучение дальнейших попыток вторжения может позволить нам более полно ответить на эти вопросы, касающиеся текущего статуса FIN6, Исследователи пришли к выводу.

Читайте также: