Il gruppo di cybercriminali FIN7 e il backdoor Anubis
Il gruppo di cybercriminali noto come FIN7, conosciuto anche con i nomi di Carbon Spider, ELBRUS, Gold Niagara, Sangria Tempest e Savage Ladybug, è stato collegato a un backdoor basato su Python chiamato Anubis (da non confondere con altri malware dallo stesso nome). Questo strumento consente loro di ottenere accesso remoto ai sistemi Windows compromessi.
Caratteristiche del malware Anubis
Secondo un rapporto tecnico dell’azienda svizzera di cybersecurity PRODAFT, questo malware permette agli attaccanti di eseguire comandi shell remoti e altre operazioni di sistema, garantendo loro il pieno controllo di una macchina infetta. Anubis viene distribuito tramite campagne di malspam che solitamente inducono le vittime a eseguire il payload ospitato su siti SharePoint compromessi.
Modalità di infezione e comunicazione
Il punto di ingresso dell’infezione è un archivio ZIP contenente uno script Python progettato per decriptare ed eseguire il payload principale offuscato direttamente in memoria. Una volta avviato, il backdoor stabilisce comunicazioni con un server remoto tramite un socket TCP in formato codificato Base64. Le risposte del server, anch’esse codificate in Base64, permettono di raccogliere l’indirizzo IP dell’host, caricare/scaricare file, cambiare la directory di lavoro corrente, acquisire variabili d’ambiente, modificare il Registro di Windows, caricare file DLL in memoria utilizzando PythonMemoryModule e terminare se stesso.
Funzionalità avanzate di Anubis
In un’analisi indipendente del backdoor Anubis, l’azienda di sicurezza tedesca GDATA ha evidenziato che il malware supporta anche la capacità di eseguire risposte fornite dall’operatore come comandi shell sul sistema della vittima. Questo consente agli attaccanti di eseguire azioni come keylogging, cattura di schermate o furto di password senza memorizzare direttamente queste capacità sul sistema infetto. PRODAFT ha sottolineato che mantenendo il backdoor il più leggero possibile, si riduce il rischio di rilevamento, mantenendo al contempo la flessibilità per eseguire ulteriori attività dannose.
Strategie di monetizzazione di FIN7
Negli ultimi anni, il gruppo FIN7 sembra essere passato a un modello di affiliazione ransomware. Nel luglio 2024, il gruppo è stato osservato mentre utilizzava vari alias online per pubblicizzare uno strumento chiamato AuKill (noto anche come AvNeutralizer), capace di terminare strumenti di sicurezza, in un probabile tentativo di diversificare la propria strategia di monetizzazione.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
