FIN7 เป็นกลุ่มผู้สร้างภัยคุกคามที่มีแรงจูงใจทางการเงินมีต้นกำเนิดในรัสเซีย ที่จะพัฒนาและปรับยุทธวิธีของตนเองอย่างต่อเนื่อง แม้จะพ่ายแพ้และถูกจับกุม โดยใช้นามแฝงหลายชื่อเพื่อปกปิดตัวตนที่แท้จริงและสนับสนุนปฏิบัติการก่อการร้าย กลุ่มนี้ซึ่งเปิดใช้งานมาตั้งแต่ปี 2555 โดยเริ่มมุ่งเน้นไปที่มัลแวร์ ณ จุดขายเพื่อการฉ้อโกงทางการเงิน แต่ได้เปลี่ยนไปใช้การดำเนินการแรนซัมแวร์ในปี 2563 โดยร่วมมือกับกลุ่มแรนซัมแวร์ในฐานะบริการที่มีชื่อเสียงและเปิดตัวโปรแกรมอิสระของตัวเอง 

 

FIN7 Underground Operations

งานวิจัยใหม่จาก SentinelOne ได้เปิดเผยการเคลื่อนไหวล่าสุดของ FIN7 ในฟอรัมอาชญากรรมใต้ดิน ซึ่งกลุ่มดังกล่าวทำการตลาดเครื่องมือและบริการของตนภายใต้นามแฝงปลอมต่างๆ ในบรรดาเครื่องมือเหล่านี้ กลุ่มนี้ขายเครื่องมือเฉพาะทางที่มีชื่อว่า AvNeutralizer (หรือที่รู้จักในชื่อ AuKill) เป็นตัวที่โดดเด่นที่สุด ซึ่งออกแบบมาเพื่อปิดการใช้งานโซลูชันความปลอดภัยส่วนใหญ่

ที่มา:sentinelone.com

โฆษณาสำหรับเครื่องมือ AvNeutralizer ปรากฏในฟอรัมต่างๆ หลายแห่งภายใต้ชื่อผู้ใช้ต่างกัน โดยขายในราคาตั้งแต่ 4,000 ถึง 15,000 เหรียญสหรัฐ นักวิจัยระบุว่าการนำเครื่องมือนี้ไปใช้อย่างแพร่หลายโดยกลุ่มแรนซัมแวร์ต่างๆ แสดงให้เห็นว่าเครื่องมือดังกล่าวไม่ได้จำกัดการใช้งานเฉพาะจากผู้คุกคามเพียงรายเดียวอีกต่อไป

 

นักวิจัยระบุชื่อผู้ใช้หลายชื่อ รวมถึง “goodsoft” “lefroggy” “killerAV” และ “Stupor” เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ FIN7 ซึ่งแนะนำในการส่งเสริมเครื่องมือและบริการ

ที่มา:sentinelone.com

การใช้ข้อมูลระบุตัวตนหลายแบบในฟอรัมต่างๆ ดูเหมือนจะเป็นกลยุทธ์ในการปกปิดตัวตนที่แท้จริงในขณะที่ยังคงกระทำการที่ผิดกฎหมายอยู่

 

คลังแสงที่ FIN7 ใช้ในการปฏิบัติการ

ความสำเร็จของกลุ่มอาชญากรไซเบอร์ FIN7 ในการดำเนินการโจมตีทางไซเบอร์ที่ซับซ้อนนั้นอาศัยชุดเครื่องมืออเนกประสงค์ที่ประกอบด้วย:

 

• Powertrash: สคริปต์ PowerShell ที่สร้างความสับสนอย่างมากซึ่งใช้ในการโหลดมัลแวร์ในหน่วยความจำเพื่อหลบเลี่ยงการตรวจจับ
• Diceloader: Minimal backdoor ที่ช่วยให้ผู้โจมตีสามารถสร้างช่องทางคำสั่งและควบคุมและโหลดโมดูลเพิ่มเติมได้
• SSH-based backdoor: กลไกการคงอยู่โดยใช้ OpenSSH และ 7zip เพื่อรักษาสิทธิ์ในการเข้าถึงระบบที่ถูกบุกรุก
• Core Impact: เครื่องมือทดสอบการเจาะระบบเชิงพาณิชย์ที่ถูกนำมาใช้ใหม่สำหรับกิจกรรมที่เป็นอันตราย
• AvNeutralizer: เครื่องมือพิเศษสำหรับการปิดการใช้งานโซลูชั่นความปลอดภัย

 

การวิเคราะห์ตัวอย่าง Powertrash เปิดเผยไทม์ไลน์พัฒนาการมัลแวร์ของ FIN7 ซึ่งแสดงการเปลี่ยนจาก Carbanak มาเป็น Diceloader (หรือที่รู้จักกันในชื่อ Lizar) ในต้นปี 2021 กลุ่มยังได้รวมเครื่องมือทดสอบ Core Impact ไว้ในคลังแสง โดยสัมพันธ์กับกิจกรรมฟอรัมใต้ดินที่สังเกตได้ โดยที่บัญชีที่เกี่ยวข้องกับ FIN7 พยายามค้นหาสำเนาของซอฟต์แวร์ที่ถูกถอดรหัส โครงสร้างพื้นฐานของ FIN7 รวมถึงเซิร์ฟเวอร์คำสั่งและการควบคุมสำหรับ Diceloader ซึ่งนักวิจัยได้ติดตามในประเทศต่างๆ และผู้ให้บริการโฮสติ้ง ในกรณีหนึ่ง เซิร์ฟเวอร์ที่ถูกเปิดเผยได้เปิดเผยถึงการใช้ SSH-based backdoor ของกลุ่มเพื่อลักลอบขโมยไฟล์ การใช้เครื่องมือเชิงพาณิชย์ของกลุ่ม เช่น Core Impact แสดงให้เห็นถึงความมุ่งมั่นในการใช้วิธีการที่ซับซ้อนและตรวจจับได้ยากสำหรับเครือข่ายของเป้าหมายที่ถูกบุกรุก

 

งานวิจัยใหม่นี้ให้ความกระจ่างเกี่ยวกับความสามารถในการปรับตัวอย่างต่อเนื่องของ FIN7 และการพัฒนาอย่างต่อเนื่องในการดำเนินงาน ซึ่งรวมถึงการนำวิธีการโจมตีอัตโนมัติมาใช้ เช่น การกำหนดเป้าหมายเซิร์ฟเวอร์ที่เปิดเผยต่อสาธารณะ ผ่านการใช้การโจมตี SQL injection attacks แบบอัตโนมัติ นอกจากนี้ การพัฒนาและการขายเครื่องมือเฉพาะทางที่พัฒนาขึ้นโดยอิสระของกลุ่ม เช่น AvNeutralizer ในฟอรัมใต้ดินของอาชญากรต่างๆ ช่วยเพิ่มผลประโยชน์และอิทธิพลของกลุ่มในหมู่อาชญากรไซเบอร์อื่นๆ ในขณะเดียวกันก็แสดงให้เห็นถึงความเชี่ยวชาญทางเทคนิคของกลุ่ม

 

การใช้ข้อมูลระบุตัวตนที่หลากหลายของ Fin7 และการทำงานร่วมกันอย่างแข็งขันกับกลุ่มผู้ก่อภัยคุกคามอื่นๆ ทำให้นักวิจัยระบุแหล่งที่มาของการปฏิบัติงานของตนได้ยากขึ้นมาก นักวิจัยกล่าวว่าพวกเขาหวังว่างานวิจัยนี้จะสร้างแรงบันดาลใจให้เกิดความพยายามมากขึ้นในการทำความเข้าใจและป้องกันกลยุทธ์การโจมตีที่พัฒนาอย่างต่อเนื่องของ FIN7