Kể từ khi xuất hiện vào giữa năm 2010, FIN7 đã nổi tiếng với các chiến dịch quy mô lớn nhắm vào hệ thống điểm bán hàng (POS), các nhà hàng, sòng bạc và khách sạn bằng phần mềm độc hại để đánh cắp thẻ tín dụng.
Các chuyên gia của Công ty phản ứng sự cố Mandiant cho biết: “Bất chấp các cáo buộc đối của thành viên FIN7 vào năm 2018 và bản án liên quan vào năm 2021 do Bộ Tư pháp Hoa Kỳ công bố, ít nhất một số thành viên của FIN7 vẫn hoạt động tích cực và tiếp tục phát triển các hoạt động tội phạm của chúng. Trong suốt quá trình, FIN7 đã đẩy mạnh tiến độ hoạt động, phạm vi mục tiêu và thậm chí là quan hệ của chúng với các hoạt động ransomware khác trong thế giới ngầm tội phạm mạng”.
Ngoài ra, Công ty còn thông báo trong một phân tích: "FIN7 được coi là đã thực hiện lây nhiễm mã độc để tống tiền, đánh cắp dữ liệu, phát tán ransomware tại nhiều tổ chức. Các kết quả đánh giá cho thấy rằng nhóm tin tặc FIN7 có liên quan đến các hoạt động ransomware khác nhau".
Một cửa hậu PowerShell có tên PowerPlant đã được FIN7 sử dụng trong nhiều năm, các chuyên gia của Mandiant đã khẳng định chắc rằng PowerShell là ngôn ngữ ưa thích của FIN7 và có rất nhiều biến thể vẫn tiếp tục phát triển.
FIN7 điều chỉnh chức năng và thêm các tính năng mới vào PowerPlant, đồng thời tung ra phiên bản mới khi đang hoạt động. Trong quá trình cài đặt, PowerPlant nhận được các mô-đun khác nhau từ máy chủ thực thi và điều khiển. Hai mô-đun được sử dụng phổ biến nhất được gọi là Easylook và Boatlaunch.
Easyloook là một tiện ích do thám mà FIN7 đã sử dụng trong ít nhất hai năm để thu thập thông tin mạng và hệ thống như phần cứng, tên người dùng, khóa đăng ký, phiên bản hệ điều hành, thông tin miền...
Boatlaunch là một mô-đun trợ giúp vá các quy trình PowerShell trên các hệ thống bị xâm phạm bằng chuỗi lệnh năm byte để vượt qua phần mềm chống mã độc hại của Windows (Malware Scanning Interface - AMSI).
Một phát hiện mới là phiên bản cập nhật của trình tải xuống Birdwatch, hiện có hai biến thể là Crowview và Fowlgaze. Cả hai phiên bản đều được viết bằng .NET, nhưng không giống như Birdwatch, chúng có khả năng tự xóa, đi kèm với payload tích hợp và hỗ trợ các đối số bổ sung.
Một điều thú vị khác là sự tham gia của FIN7 trong các nhóm ransomware khác nhau. Đặc biệt, các nhà phân tích đã tìm thấy bằng chứng về các vụ tấn công thực hiện bởi FIN7 được phát hiện ngay trước sự cố ransomware như Maze, Ryuk, Darkside và BlackCat/ ALPHV.
Đơn vị Tư vấn Gemini của Recorded Future (Hòa Kỳ) đã có một báo cáo vào tháng 10/2021 về sự thay đổi chiến lược kiếm tiền của FIN7 đối với ransomware, chúng đã thành lập một công ty ma có tên Bastion Secure để tuyển dụng những người kiểm tra việc thâm nhập không chủ ý để khai thác tấn công bằng ransomware.
Sau đó vào đầu tháng 1/2022, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã ban hành cảnh báo Flash cho các tổ chức rằng băng nhóm đang gửi các ổ USB độc hại (hay còn gọi là BadUSB) tới các mục tiêu kinh doanh của Hoa Kỳ trong ngành vận tải, bảo hiểm và quốc phòng để làm lây nhiễm phần mềm độc hại, bao gồm cả ransomware.
Một trong các cuộc tấn công, việc theo dõi FIN7 xâm nhập một trang web bán các sản phẩm kỹ thuật số, điều chỉnh nhiều liên kết tải xuống để khiến chúng trỏ đến máy chủ Amazon S3 lưu trữ các phiên bản trojanized có chứa Atera Agent - một công cụ quản lý từ xa hợp pháp. Sau đó, FIN7 âm thầm đưa mã độc PowerPlant vào hệ thống của nạn nhân.
Lê Yến
Lê Yến (tổng hợp)
20:00 | 13/03/2022
15:00 | 19/01/2022
16:00 | 13/07/2021
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
10:00 | 31/07/2024
Mới đây, tin tặc đã phát tán tài liệu nội bộ liên quan đến các cơ quan trọng yếu của Mỹ như Bộ Quốc phòng, Bộ An ninh Nội địa, Cơ quan Hàng không và Vũ trụ (NASA). Theo đó, tài liệu nội bộ bị đánh cắp từ Leidos Holdings, một trong những nhà cung cấp dịch vụ công nghệ thông tin lớn nhất của Chính phủ Mỹ.
10:00 | 18/07/2024
Theo báo cáo được các chuyên gia của hãng nghiên cứu bảo mật TRM Labs (Mỹ) cho biết, số tiền mã hóa bị đánh cắp trong các vụ tấn công mạng trên toàn cầu đã tăng hơn gấp đôi trong nửa đầu năm 2024 so với cùng kỳ năm ngoái.
14:00 | 23/05/2024
The Post Millennial, một tạp chí tin tức trực tuyến của Canada đã bị vi phạm dữ liệu nghiêm trọng và gây rò rỉ dữ liệu. Cuộc tấn công này đã xâm phạm thông tin cá nhân của hàng triệu người dùng, bao gồm các tác giả và biên tập viên của trang web cũng như một số lượng lớn người đăng ký.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024