Στα τέλη του περασμένου έτους, οι hackers FIN7 στόχευσαν υπαλλήλους IT μιας μεγάλης αμερικανικής αυτοκινητοβιομηχανίας με spear-phishing emails, για να μολύνουν τα συστήματα με το Anunak backdoor.
Σύμφωνα με ερευνητές της BlackBerry, η επίθεση βασίστηκε σε living-off-the-land binaries, scripts, και libraries (LoLBas). Οι hackers FIN7 εστίασαν σε υπαλλήλους με προνόμια υψηλού επιπέδου, δελεάζοντάς τους με συνδέσμους που οδηγούσαν σε μια κακόβουλη διεύθυνση URL που έμοιαζε με το νόμιμο εργαλείο Advanced IP Scanner.
Η BlackBerry απέδωσε τις επιθέσεις στους hackers FIN7 παρατηρώντας στοιχεία που έχουν εντοπιστεί και σε παλαιότερες εκστρατείες τους.
Επίθεση στην αμερικανική αυτοκινητοβιομηχανία
Όπως προαναφέρθηκε, η επίθεση των hackers FIN7 ξεκίνησε με spear-phishing emails που στόχευσαν υπαλλήλους στο τμήμα IT της αυτοκινητοβιομηχανίας.
Τα emails περιείχαν συνδέσμους που οδηγούσαν στο “advanced-ip-scanner[.]com“, μια ψεύτικη διεύθυνση που προσπαθεί να μιμηθεί τη διεύθυνση του νόμιμου σαρωτή που φιλοξενείται στο “advanced-ip-scanner.com”.
Οι ερευνητές ανακάλυψαν ότι ο ψεύτικος ιστότοπος οδηγούσε στο “myipscanner[.]com” (τώρα εκτός σύνδεσης). Στη συνέχεια, ο επισκέπτης οδηγούνταν σε μια σελίδα Dropbox που περιείχε ένα κακόβουλο εκτελέσιμο αρχείο (‘WsTaskLoad.exe’) που εμφανιζόταν ως το νόμιμο πρόγραμμα εγκατάστασης για το Advanced IP Scanner.
Κατά την εκτέλεση, το αρχείο ενεργοποιούσε μια διαδικασία πολλαπλών σταδίων, συμπεριλαμβανομένης της εκτέλεσης αρχείων DLL, WAV και shellcode, που οδηγούσε στη φόρτωση και την αποκρυπτογράφηση ενός αρχείου με το όνομα “dmxl.bin“. Αυτό το αρχείο περιελάμβανε το Anunak backdoor payload.
Οι ερευνητές δεν αποκάλυψαν το όνομα της αμερικανικής αυτοκινητοβιομηχανίας που υπέστη επίθεση από τους hackers FIN7. Την περιέγραψαν απλά ως “μια μεγάλη πολυεθνική αυτοκινητοβιομηχανία με έδρα τις ΗΠΑ“.
Η BlackBerry είπε ότι η επίθεση της ομάδας απέτυχε να εξαπλωθεί πέρα από το αρχικό μολυσμένο σύστημα. Η εταιρεία συνιστά στις εταιρείες να αμύνονται κατά του phishing, που είναι ο πιο συνηθισμένος φορέας εισβολής.
Spear-phishing emails: Προστασία
Για να προστατευτεί κάποιος από τα spear phishing emails, όπως αυτά που έστειλαν οι hackers FIN7, πρέπει πρώτα να είναι σε θέση να αναγνωρίσει τα χαρακτηριστικά τους. Αυτά τα emails συχνά περιέχουν ορθογραφικά λάθη, απροσδιόριστες διευθύνσεις αποστολέα και αιφνίδιες προτροπές για δράση.
Επιπλέον, οι χρήστες πρέπει να είναι προσεκτικοί με τα συνημμένα αρχεία και τους συνδέσμους που περιέχονται σε ένα email. Αν ένα email φαίνεται ύποπτο, καλύτερα να μην ανοίξετε κανένα συνημμένο αρχείο και να μην ακολουθήσετε κανένα σύνδεσμο που περιέχει.
Είναι επίσης σημαντικό να χρησιμοποιείτε ένα ενημερωμένο antivirus πρόγραμμα και ένα αξιόπιστο φίλτρο spam. Αυτά τα εργαλεία μπορούν να βοηθήσουν στην ανίχνευση και την αποφυγή των spear phishing emails των hackers FIN7.
Τέλος, η εκπαίδευση είναι ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από τα spear phishing emails. Μάθετε περισσότερα για τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι και πώς μπορείτε να τις αναγνωρίσετε.
Πηγή: www.bleepingcomputer.com