Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings