Les pirates FIN7 font évoluer l’ensemble d’outils, travaillent avec plusieurs gangs de ransomwares

FIN7 hackers evolve toolset, work with multiple ransomware gangs

Les analystes des menaces ont compilé un rapport technique détaillé sur les opérations FIN7 de fin 2021 à début 2022, montrant que l’adversaire continue d’être très actif, d’évoluer et d’essayer de nouvelles méthodes de monétisation.

FIN7 (alias Carbanak) est un acteur russophone motivé financièrement, connu pour son ensemble ingénieux et diversifié de tactiques, ses logiciels malveillants sur mesure et ses portes dérobées furtives.

Bien que certains membres du groupe aient été inculpés en 2018, suivis du condamnation d’un de ses managers en 2021, FIN7 n’a pas disparu et a continué à développer de nouveaux outils d’attaques furtives.

Un nouvel ensemble riche d’indicateurs de compromis FIN7 basés sur l’analyse de nouveaux échantillons de logiciels malveillants a été publié par les chercheurs de Mandiant, qui continuent d’observer et de suivre les opérations du groupe.

Les preuves recueillies à partir d’une série de cyber-intrusions ont conduit les analystes à fusionner huit groupes UNC précédemment suspectés dans FIN7, ce qui indique le large éventail d’opérations pour le groupe particulier.

Évolution de l’ensemble d’outils

La porte dérobée PowerShell connue sous le nom de PowerPlant, associée à FIN7 depuis des années, est toujours en cours de développement dans de nouvelles variantes, car Mandiant a identifié des numéros de version allant de 0,012 à 0,028.

Dans certaines intrusions, FIN7 a été observé en train de peaufiner la fonctionnalité et d’ajouter de nouvelles fonctionnalités à PowerPlant, et de déployer la nouvelle version au milieu de l’opération.

Versions de PowerPlant échantillonnées à partir d'attaques réelles
Versions de PowerPlant échantillonnées à partir d’attaques réelles
(Mandiant)

Selon Mandiant, PowerPlant a remplacé Loadout et Griffon dans les opérations de 2022, tandis que les logiciels malveillants Carbanak et Diceloader sont également passés au second plan.

Pendant le déploiement, PowerPlant récupère différents modules du serveur C2, de sorte que l’ensemble de fonctionnalités résultant varie. Deux des modules les plus couramment déployés sont nommés Easylook et Boatlaunch.

Easyloook est un utilitaire de reconnaissance que FIN7 utilise depuis au moins deux ans pour capturer des informations sur le réseau et le système telles que le matériel, les noms d’utilisateur, les clés d’enregistrement, les versions du système d’exploitation, les données de domaine, etc.

Extrait de code de reconnaissance Easylook
Extrait de code de reconnaissance Easylook (Mandiant)

Boatlaunch est un module d’assistance qui corrige les processus PowerShell sur les systèmes compromis avec une séquence d’instructions de 5 octets qui entraîne un contournement AMSI.

AMSI (interface d’analyse antimalware) est un outil Microsoft intégré qui aide à détecter l’exécution malveillante de PowerShell, donc Boatlaunch est là pour aider à empêcher cela. Mandiant a repéré les versions de modules 32 bits et 64 bits.

Un autre nouveau développement est l’évolution du téléchargeur Birdwatch, qui a maintenant deux variantes, nommées Crowview et Fowlgaze.

Les deux variantes sont basées sur .NET, mais contrairement à Birdwatch, elles disposent de capacités d’auto-suppression, sont livrées avec des charges utiles intégrées et prennent en charge des arguments supplémentaires.

Comme Birdwatch, ces nouvelles variantes prennent en charge la récupération des charges utiles via HTTP et continuent d’offrir des opérations de reconnaissance de base qui indiquent à FIN7 quels processus s’exécutent sur le système, quelle est la configuration réseau et quel navigateur Web est utilisé.

Nouvelles entreprises dans les ransomwares

Une découverte intéressante présentée dans le rapport de Mandiant est l’implication de FIN7 avec divers gangs de rançongiciels.

Plus précisément, les analystes ont trouvé des preuves d’intrusions FIN7 détectées juste avant les incidents avec des ransomwares comme Maze, Ryuk, Darkside et BlackCat/ALPHV.

« En plus des preuves produites à partir des données d’intrusion, des artefacts secondaires suggèrent que FIN7 a joué un rôle dans au moins certaines opérations DARKSIDE », déclare Mandiant.

« Un certificat de signature de code à faible prévalence mondiale utilisé par FIN7 en 2021 pour signer les échantillons BEACON et BEAKDROP a également été utilisé pour signer plusieurs échantillons DARKSIDE non attribués récupérés dans la nature. »

Certificat commun de signature de code
Certificat commun de signature de code (Mandiant)

En octobre dernier, EZpublish-france.fr a fait état de l’intérêt croissant de FIN7 pour les opérations de ransomware lorsque le groupe a été exposé pour avoir créé une fausse entreprise de test d’intrusion pour embaucher des spécialistes des intrusions sur le réseau.

Il n’est pas clair si FIN7 offre un accès initial au réseau aux gangs de rançongiciels ou s’il opère en tant qu’affilié et utilise les souches susmentionnées. Pourtant, il y a une implication claire de l’adversaire dans les opérations de ransomware.