L’acteur de la menace à motivation financière FIN7 a ciblé un grand constructeur automobile américain avec des courriels de spear-phishing pour les employés du service informatique afin d’infecter les systèmes avec la porte dérobée Anunak.

Selon des chercheurs de BlackBerry, l’attaque s’est produite à la fin de l’année dernière et reposait sur des binaires, des scripts et des bibliothèques vivant hors des terres (LOLBA). L’auteur de la menace s’est concentré sur des cibles disposant de privilèges de haut niveau, les attirant avec des liens vers une URL malveillante se faisant passer pour l’outil légitime Advanced IP Scanner.

BlackBerry a attribué les attaques à FIN7 avec un haut niveau de confiance basé sur l’utilisation de scripts PowerShell uniques utilisant l’invocateur de shellcode obscurci « PowerTrash » de l’adversaire, vu pour la première fois dans une campagne de 2022.

Auparavant, FIN7 ciblait les serveurs Veeam backup et Microsoft Exchange exposés, ainsi que le déploiement de charges utiles de ransomware Black Basta et Clop sur les réseaux d’entreprise.

Chaîne d’attaque
L’attaque de FIN7 a commencé par des courriels de harponnage ciblant des employés hautement privilégiés du service informatique d’un grand constructeur automobile basé aux États-Unis.

Les liens dans les courriels mèneraient à  » advanced-ip-sccanner[.] com,  » un typosquat du projet de scanner légitime hébergé chez « advanced-ip-scanner.com. »

Les chercheurs ont découvert que le faux site redirigeait vers  » myipscanner[.] com  » (maintenant hors ligne). Le visiteur serait ensuite redirigé vers une page Dropbox proposant un exécutable malveillant (‘WsTaskLoad.exe’) déguisé en installateur légitime pour Advanced IP Scanner.

Une fois exécuté, le fichier déclenche un processus en plusieurs étapes impliquant l’exécution de DLL, de fichiers WAV et de shellcode, conduisant au chargement et au décryptage d’un fichier nommé ‘dmxl.bin,  » qui contient la charge utile de la porte dérobée Anunak.

Diagramme de la chaîne d’attaque

Anunak / Carbanak est l’un des nombreux outils malveillants QUE FIND 7 utilise, avec Loadout, Griffon, Power Plant et Dice loader.

WsTaskLoad.exe installe également OpenSSH pour un accès persistant et crée une tâche planifiée. FIND 7 a déjà utilisé OpenSSH pour les mouvements latéraux, mais BlackBerry dit qu’il ne l’a pas observé dans la campagne qu’ils ont analysée.

Création d’une tâche planifiée pour la persistance

Les chercheurs n’ont pas divulgué le nom de l’organisation victime, qu’ils décrivent seulement comme « un grand constructeur automobile multinational basé aux États-Unis ».

FIN7 existe depuis 2013, mais ce n’est qu’au cours des dernières années qu’il est passé à des cibles plus importantes et la charge utile finale typique est le ransomware. La transition vers l’attaque de grandes organisations dans le contexte des ransomwares est logique car elles peuvent payer des rançons plus importantes.

BlackBerry commente que l’attaque de FIN7 n’a pas réussi à se propager au-delà du système infecté initial et dans la phase de mouvement latéral. L’entreprise recommande aux entreprises de se défendre contre le phishing, qui est le vecteur d’intrusion le plus courant, et de fournir une formation appropriée afin que les employés puissent s’éloigner des leurres malveillants.

La mise en œuvre de l’authentification multifacteur (MFA) sur tous les comptes d’utilisateurs rend plus difficile pour un attaquant d’accéder au compte d’un employé, même s’il parvient à voler les informations d’identification d’accès.

Les défenses de base telles que l’utilisation de mots de passe forts et uniques, la mise à jour de tous les logiciels, la surveillance du réseau à la recherche de comportements suspects et l’ajout de solutions avancées de filtrage des e-mails aident également à se protéger contre un large éventail d’attaquants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *