Nhóm tin tặc FIN7 nhắm mục tiêu vào ngành công nghiệp ô tô Hoa Kỳ với Carbanak Backdoor


 Tổ chức tội phạm mạng khét tiếng được gọi là FIN7 đã được liên kết với một chiến dịch lừa đảo nhắm vào ngành công nghiệp ô tô Hoa Kỳ để cung cấp một cửa hậu được biết đến có tên Carbanak (hay còn gọi là Anunak).

"FIN7 xác định các nhân viên tại công ty làm việc trong bộ phận CNTT và có quyền quản trị cao hơn", nhóm nghiên cứu và tình báo BlackBerry cho biết trong một bài viết mới.

"Họ đã sử dụng sự hấp dẫn của một công cụ quét IP miễn phí để chạy backdoor Anunak nổi tiếng của họ và có được chỗ đứng ban đầu bằng cách sử dụng sống nhờ các nhị phân, tập lệnh và thư viện đất đai (LOLBAS)."

FIN7, còn được gọi là Carbon Spider, Elbrus, Gold Niagara, ITG14 và Sangria Tempest, là một nhóm tội phạm điện tử có động cơ tài chính nổi tiếng, có thành tích tấn công một loạt các ngành dọc để cung cấp phần mềm độc hại có khả năng đánh cắp thông tin từ các hệ thống điểm bán hàng (PoS) kể từ năm 2012.

Trong những năm gần đây, tác nhân đe dọa đã chuyển sang tiến hành các hoạt động ransomware, cung cấp các chủng khác nhau như Black Basta, Cl0p, DarkSide và REvil. Hai thành viên Ukraine của nhóm, Fedir Hladyr và Andrii Kolpakov, đã bị kết án tù ở Mỹ cho đến nay.

Chiến dịch mới nhất được BlackBerry phát hiện vào cuối năm 2023 bắt đầu bằng một email lừa đảo nhúng một liên kết bị mắc kẹt trỏ đến một trang web không có thật ("advanced-ip-sccanner[.] com") giả mạo là Advanced IP Scanner.

"Trang web giả mạo này đã chuyển hướng đến 'myipscanner [.] com', từ đó chuyển hướng đến Dropbox thuộc sở hữu của kẻ tấn công đã tải xuống tệp thực thi độc hại WsTaskLoad.exe vào máy của nạn nhân", công ty an ninh mạng Canada cho biết.

Về phần mình, hệ nhị phân bắt đầu một quá trình nhiều giai đoạn cuối cùng dẫn đến việc thực hiện Carbanak. Nó cũng được thiết kế để cung cấp các tải trọng bổ sung như POWERTRASH và thiết lập tính bền bỉ bằng cách cài đặt OpenSSH để truy cập từ xa.

Hiện tại vẫn chưa biết liệu các tác nhân đe dọa có lên kế hoạch triển khai ransomware hay không, vì hệ thống bị nhiễm đã được phát hiện sớm và bị xóa khỏi mạng trước khi nó có thể đạt đến giai đoạn di chuyển bên.

Trong khi mục tiêu của cuộc tấn công là một "nhà sản xuất ô tô đa quốc gia lớn" có trụ sở tại Hoa Kỳ, BlackBerry cho biết họ đã tìm thấy một số tên miền độc hại tương tự trên cùng một nhà cung cấp, cho thấy rằng nó có thể là một phần của chiến dịch rộng lớn hơn của FIN7.

Để giảm thiểu rủi ro do các mối đe dọa như vậy gây ra, các tổ chức nên đề phòng các nỗ lực lừa đảo, bật xác thực đa yếu tố (MFA), cập nhật tất cả phần mềm và hệ thống và theo dõi các nỗ lực đăng nhập bất thường.

Mới hơn Cũ hơn