Kể từ khi xuất hiện vào giữa năm 2010, FIN7 đã nổi tiếng với các chiến dịch quy mô lớn nhắm vào hệ thống điểm bán hàng (POS), các nhà hàng, sòng bạc và khách sạn bằng phần mềm độc hại để đánh cắp thẻ tín dụng.
Các chuyên gia của Công ty phản ứng sự cố Mandiant cho biết: “Bất chấp các cáo buộc đối của thành viên FIN7 vào năm 2018 và bản án liên quan vào năm 2021 do Bộ Tư pháp Hoa Kỳ công bố, ít nhất một số thành viên của FIN7 vẫn hoạt động tích cực và tiếp tục phát triển các hoạt động tội phạm của chúng. Trong suốt quá trình, FIN7 đã đẩy mạnh tiến độ hoạt động, phạm vi mục tiêu và thậm chí là quan hệ của chúng với các hoạt động ransomware khác trong thế giới ngầm tội phạm mạng”.
Ngoài ra, Công ty còn thông báo trong một phân tích: "FIN7 được coi là đã thực hiện lây nhiễm mã độc để tống tiền, đánh cắp dữ liệu, phát tán ransomware tại nhiều tổ chức. Các kết quả đánh giá cho thấy rằng nhóm tin tặc FIN7 có liên quan đến các hoạt động ransomware khác nhau".
Một cửa hậu PowerShell có tên PowerPlant đã được FIN7 sử dụng trong nhiều năm, các chuyên gia của Mandiant đã khẳng định chắc rằng PowerShell là ngôn ngữ ưa thích của FIN7 và có rất nhiều biến thể vẫn tiếp tục phát triển.
FIN7 điều chỉnh chức năng và thêm các tính năng mới vào PowerPlant, đồng thời tung ra phiên bản mới khi đang hoạt động. Trong quá trình cài đặt, PowerPlant nhận được các mô-đun khác nhau từ máy chủ thực thi và điều khiển. Hai mô-đun được sử dụng phổ biến nhất được gọi là Easylook và Boatlaunch.
Easyloook là một tiện ích do thám mà FIN7 đã sử dụng trong ít nhất hai năm để thu thập thông tin mạng và hệ thống như phần cứng, tên người dùng, khóa đăng ký, phiên bản hệ điều hành, thông tin miền...
Boatlaunch là một mô-đun trợ giúp vá các quy trình PowerShell trên các hệ thống bị xâm phạm bằng chuỗi lệnh năm byte để vượt qua phần mềm chống mã độc hại của Windows (Malware Scanning Interface - AMSI).
Một phát hiện mới là phiên bản cập nhật của trình tải xuống Birdwatch, hiện có hai biến thể là Crowview và Fowlgaze. Cả hai phiên bản đều được viết bằng .NET, nhưng không giống như Birdwatch, chúng có khả năng tự xóa, đi kèm với payload tích hợp và hỗ trợ các đối số bổ sung.
Một điều thú vị khác là sự tham gia của FIN7 trong các nhóm ransomware khác nhau. Đặc biệt, các nhà phân tích đã tìm thấy bằng chứng về các vụ tấn công thực hiện bởi FIN7 được phát hiện ngay trước sự cố ransomware như Maze, Ryuk, Darkside và BlackCat/ ALPHV.
Đơn vị Tư vấn Gemini của Recorded Future (Hòa Kỳ) đã có một báo cáo vào tháng 10/2021 về sự thay đổi chiến lược kiếm tiền của FIN7 đối với ransomware, chúng đã thành lập một công ty ma có tên Bastion Secure để tuyển dụng những người kiểm tra việc thâm nhập không chủ ý để khai thác tấn công bằng ransomware.
Sau đó vào đầu tháng 1/2022, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã ban hành cảnh báo Flash cho các tổ chức rằng băng nhóm đang gửi các ổ USB độc hại (hay còn gọi là BadUSB) tới các mục tiêu kinh doanh của Hoa Kỳ trong ngành vận tải, bảo hiểm và quốc phòng để làm lây nhiễm phần mềm độc hại, bao gồm cả ransomware.
Một trong các cuộc tấn công, việc theo dõi FIN7 xâm nhập một trang web bán các sản phẩm kỹ thuật số, điều chỉnh nhiều liên kết tải xuống để khiến chúng trỏ đến máy chủ Amazon S3 lưu trữ các phiên bản trojanized có chứa Atera Agent - một công cụ quản lý từ xa hợp pháp. Sau đó, FIN7 âm thầm đưa mã độc PowerPlant vào hệ thống của nạn nhân.
Lê Yến
Lê Yến (tổng hợp)
20:00 | 13/03/2022
15:00 | 19/01/2022
16:00 | 13/07/2021
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024