Kelompok peretas FIN7 yang terkenal kejam telah terlihat menjual alat “AvNeutralizer” miliknya, yang digunakan untuk menghindari deteksi dengan mematikan perangkat lunak perlindungan titik akhir perusahaan di jaringan perusahaan.
FIN7 diyakini sebagai kelompok peretas Rusia yang telah aktif sejak 2013, awalnya berfokus pada penipuan keuangan dengan meretas organisasi dan mencuri kartu debit dan kredit.
Mereka kemudian pindah ke ruang ransomware dan dihubungkan dengan Sisi gelap Dan Materi Hitam platform ransomware-sebagai-operasi. Aktor ancaman yang sama juga kemungkinan terkait dengan operasi ransomware BlackCat, yang baru-baru ini melakukan penipuan keluar setelah mencuri Pembayaran tebusan UnitedHealth.
FIN7 dikenal dengan serangan phishing dan rekayasa canggih untuk mendapatkan akses awal ke jaringan perusahaan, termasuk meniru identitas BestBuy untuk mengirim kunci USB berbahaya dan mengembangkan malware dan alat khusus.
Untuk menambah eksploitasi, mereka menciptakan perusahaan keamanan palsu bernama Bastion Secure untuk merekrut pentester dan pengembang untuk serangan ransomware tanpa pelamar mengetahui bagaimana pekerjaan mereka digunakan.
Peretas FIN7 juga dilacak dengan nama lain, termasuk Sangria Tempest, Carbon Spider, dan Carbanak Group.
FIN7 menjual alat ke peretas lain
Dalam laporan baru oleh SentinelOne, para peneliti mengatakan bahwa salah satu alat khusus yang dibuat oleh FIN7 adalah “AvNeutralizer” (alias AuBunuh), alat yang digunakan untuk mematikan perangkat lunak keamanan yang pertama kali ditemukan dalam serangan oleh operasi ransomware BlackBasta pada tahun 2022.
Karena BlackBasta adalah satu-satunya operasi ransomware menggunakan alat pada saat itupara peneliti meyakini bahwa ada hubungan antara kedua kelompok tersebut.
Namun, telemetri historis SentinelOne telah menunjukkan bahwa alat tersebut digunakan dalam serangan oleh lima operasi ransomware lain, yang memperlihatkan distribusi alat tersebut yang luas.
“Sejak awal tahun 2023, data telemetri kami mengungkapkan banyak intrusi yang melibatkan berbagai versi AvNeutralizer,” jelas laporan oleh peneliti SentinelOne Antonio Cocomazzi.
“Sekitar 10 di antaranya disebabkan oleh intrusi ransomware yang dioperasikan manusia yang menggunakan muatan RaaS terkenal termasuk AvosLocker, MedusaLocker, BlackCat, Trigona, dan LockBit.”
Penelitian lebih lanjut mengungkapkan bahwa pelaku ancaman yang beroperasi dengan alias “goodsoft”, “lefroggy”, “killerAV” dan “Stupor” telah menjual “AV Killer” di forum peretasan berbahasa Rusia sejak tahun 2022 dengan harga berkisar antara $4.000 hingga $15.000.
Sumber: SentinelOne
Laporan tahun 2023 dari Sophos merinci bagaimana AvNeutralizer/AuKill menyalahgunakan driver SysInternals Process Explorer yang sah untuk menghentikan proses antivirus yang berjalan pada perangkat.
Pelaku ancaman mengklaim bahwa alat ini dapat digunakan untuk mematikan perangkat lunak antivirus/EDR apa pun, termasuk Windows Defender dan produk dari Sophos, SentinelOne, Panda, Elastic, dan Symantec.
SentinelOne kini menemukan bahwa FIN7 telah memperbarui AVNeutralizer untuk memanfaatkan driver Windows ProcLaunchMon.sys guna menghentikan proses, sehingga tidak lagi berfungsi dengan benar.
“AvNeutralizer menggunakan kombinasi driver dan operasi untuk menciptakan kegagalan dalam beberapa implementasi spesifik dari proses yang dilindungi, yang akhirnya menyebabkan kondisi penolakan layanan,” jelas SentinelOne.
“Ini menggunakan TTD pengemudi monitor ProcLaunchMon.systersedia pada instalasi sistem default di direktori driver sistem, bersama dengan versi terbaru dari driver penjelajah proses dengan versi 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), yang telah diperkeras untuk penyalahgunaan operasi lintas proses dan saat ini tidak diblokir oleh Daftar WDAC Microsoft“.”
Sumber: SentinelOne
SentinelOne menemukan perkakas khusus dan malware tambahan yang digunakan oleh FIN7, yang tidak diketahui dijual ke pelaku ancaman lain:
Powertrash (pintu belakang PowerShell), Diceloader (pintu belakang ringan yang dikendalikan C2), Core Impact (perangkat pengujian penetrasi), dan pintu belakang berbasis SSH.
Para peneliti memperingatkan bahwa evolusi dan inovasi FIN7 yang berkelanjutan dalam perkakas dan teknik, serta penjualan perangkat lunaknya, menjadikannya ancaman yang signifikan bagi perusahaan di seluruh dunia.
“Inovasi berkelanjutan FIN7, terutama dalam teknik canggihnya untuk menghindari tindakan keamanan, menunjukkan keahlian teknisnya,” simpul peneliti SentinelOne Antonio Cocomazzi.
“Penggunaan beberapa nama samaran dan kolaborasi dengan entitas penjahat dunia maya lainnya membuat atribusi menjadi lebih sulit dan menunjukkan strategi operasionalnya yang canggih.”
