Хакеры из FIN7 вооружились новыми инструментами – BOOSTWRITE и RDFSNIFFER. Исследователи из Mandiant компании FireEye обнаружили образцы нового вредоносного дроппера BOOSTWRITE, способного загружать бэкдор Carbanak и троян для удаленного доступа (RAT) RDFSNIFFER.
Полезная нагрузка RDFSNIFFER была разработана для внедрения в работу клиента Aloha Command Center производителя банкоматов и платёжных терминалов NCR Corporation. Aloha Command Center – это набор инструментов удалённого управления и исправления проблем на системах обработки платёжных карт, на которых запущен Command Center. Вредонос загружается в тот же процесс, что и Command Center, нарушая порядок загрузки DLL-библиотеки легитимной утилиты Aloha.
RAT попадает на скомпрометированные системы после того, как загрузчик BOOSTWRITE расшифровывает встроенную полезную нагрузку, используя при запуске ключи шифрования от операторов. BOOSTWRITE использует технику перехвата поиска DLL (DLL Search Order Hijacking) для загрузки собственных вредоносных DLL-библиотек в память заражённой системы, а затем загружает вектор инициализации и ключ, необходимый для дешифрования встроенных полезных нагрузок.
Один из образцов BOOSTWRITE был подписан цифровым сертификатом, выданным MANGO ENTERPRISE LIMITED.
«Используя доверие, предоставляемое цифровыми сертификатами, FIN7 увеличивает свои шансы обойти различные меры безопасности и успешно скомпрометировать системы жертв», – отмечают в Mandiant.
Вредонос RDFSNIFFER позволяет хакерам «перехватывать установки Aloha Command Center и взаимодействовать с целевыми системами посредством существующих легитимных процессов двухфакторной авторизации». RDFSNIFFER загружается в процесс RDFClient каждый раз, когда на скомпрометированных компьютерах запускается легитимное ПО. Зловред может отслеживать или изменять соединения, созданные с помощью RDFClient, предоставляя операторам возможность осуществлять MitM-атаки (Man-In-The-Middle), а также содержит бэкдор, позволяющий загружать, скачивать, выполнять и удалять произвольные файлы.
Один из лидеров FIN7 признал себя виновным, однако, группа ещё активна и продолжает пополнять свой арсенал новым вредоносным ПО.
.jpg)
.png)