Sentinel Labs 的安全研究人员发现了将 Black Basta 勒索软件团伙与出于经济动机的黑客组织 FIN7(也称为“Carbanak”)联系起来的证据。
在分析勒索软件团伙在攻击中使用的工具时,研究人员发现有迹象表明,FIN7 的开发人员还编写了自 2022 年 6 月以来 Black Basta 专门使用的 EDR(端点检测和响应)规避工具。
将两者联系起来的进一步证据包括 FIN7 在 2022 年初使用的 IP 地址和特定的 TTP(策略、技术和程序),并在几个月后的实际 Black Basta 攻击中看到。
背景
FIN7 是一个讲俄语、出于经济动机的黑客组织,至少自 2015 年以来一直活跃,部署 POS 恶意软件并对数百家公司发起有针对性的鱼叉式网络钓鱼攻击。
2020 年,该组织开始探索勒索软件空间,到 2021 年 10 月,据透露已经建立了 自己的网络入侵行动。
2022 Mandiant 的一份报告解释说,FIN7 正在与各种勒索软件团伙合作,包括 Maze、Ryuk、Darkside 和 BlackCat/ALPHV,显然是在执行最初的妥协。
Black Basta 是一项于 2022 年 4 月发起的勒索软件操作,通过立即宣布多名知名受害者并说服许多分析师这是 Conti 更名,或至少包含现已关闭操作的成员,显示出先前经验的迹象。
新的勒索软件操作一直保持封闭状态,没有将自己宣传为勒索软件即服务或招募附属机构,这表明它可能是一个私人团体。
FIN7 开发人员
从 2022 年 6 月起,有人观察到 Black Basta 部署了一个由其成员专门使用的定制 EDR 规避工具。
通过深入研究这个工具,Sentinel Labs 发现了一个可执行文件“WindefCheck.exe”,它显示了一个假的 Windows 安全 GUI 和托盘图标,让用户产生 Windows Defender 正常工作的错觉。
但在后台,该恶意软件会禁用 Windows Defender、EDR 和防病毒工具,确保不会危及数据泄露和加密过程。
该工具如下图所示,上图显示了伪造的 Windows 安全屏幕,各种安全设置似乎已启用并保护设备。
但是,下面的屏幕显示了这些安全设置被禁用的实际状态。
分析师检索了更多与该工具相关的样本,并发现其中一个包含一个未知的打包程序,该打包程序被识别为“ SocksBot ”,这是FIN 7 至少自 2018 年以来一直在使用和开发的后门。
此外,后门连接到属于“pq.hosting”的 C2 IP 地址,这是 FIN7 信任并定期使用的防弹托管服务提供商。
“我们评估,开发 Black Basta 使用的损伤工具的威胁行为者很可能是同一行为者,可以访问 FIN7 操作中使用的打包程序源代码,从而首次在两组之间建立了可能的联系,”解释说哨兵实验室的报告。
FIN7 和 Black Basta 之间存在联系的其他证据涉及 FIN7 于 2022 年初在模拟恶意软件投放攻击中使用 Cobalt Strike 和 Meterpreter C2 框架进行的实验。
几个月后,在 Black Basta 的实际攻击中观察到使用精确的自定义工具、插件和交付方法的相同活动。
虽然这些技术上的相似之处表明 Fin7 成员是 Black Basta 行动的一部分,但仍不清楚他们是否只是该组织、运营商或附属机构在攻击期间使用自己的工具的开发人员。
对于那些有兴趣了解更多关于 Black Basta 的 TTP 的人,研究人员 Max Malyutin 还在 周一发布了一份报告 ,详细介绍了 QBot 感染和 AV 逃避如何与该组织勒索软件的最终部署相关联。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Black Basta勒索软件团伙与FIN7黑客组织有关联
