Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for FIN7

FIN7

Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

by

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Injeksi SQL Checkmark’s (Prodaft)

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Owler data view di Checkmarks (Prodaft)

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer

FIN7 Mengirimkan USB Sticks Berbahaya untuk Menjatuhkan Ransomware

by

Geng ransomware mengirimkan drive USB berbahaya, menyamar sebagai Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) dan / atau Amazon untuk menargetkan industri transportasi, asuransi dan pertahanan untuk infeksi ransomware, FBI memperingatkan pada hari Jumat.

Dalam peringatan keamanan yang dikirim ke organisasi, FBI mengatakan bahwa FIN7 – alias Carbanak atau Navigator Group, geng cybercrime yang terkenal dan termotivasi secara finansial di balik malware backdoor Carbanak – adalah pihak yang bersalah.

FIN7 telah ada setidaknya sejak 2015. Awalnya, geng membuat reputasinya dengan mempertahankan akses terus-menerus di perusahaan target dengan malware backdoor kustom, dan untuk menargetkan point-of-sale (PoS) sistem dengan perangkat lunak skimmer. Ini sering menargetkan restoran santai, kasino dan hotel. Tetapi pada tahun 2020, FIN7 juga masuk ke permainan ransomware / eksfiltrasi data, dengan kegiatannya melibatkan REvil atau Ryuk sebagai muatan.

FBI mengatakan bahwa selama beberapa bulan terakhir, FIN7 telah mengirimkan perangkat USB berbahaya ke perusahaan AS, dengan harapan bahwa seseorang akan mencolokkan drive, menginfeksi sistem dengan malware dan dengan demikian mengaturnya untuk serangan ransomware di masa depan.

“Sejak Agustus 2021, FBI telah menerima laporan beberapa paket yang berisi perangkat USB ini, dikirim ke bisnis AS di industri transportasi, asuransi, dan pertahanan,” kata fbi dalam peringatan keamanan.

Infeksi BadUSB yang Dikirim Siput

“Paket-paket itu dikirim menggunakan Layanan Pos Amerika Serikat dan Layanan Paket Amerika Serikat,” tambah FBI.

Para penyerang menyemburkan paket, menyamarkan mereka sebagai terkait pandemi atau sebagai barang dari Amazon, biro itu mengatakan: “Ada dua variasi paket – yang meniru HHS sering disertai dengan surat-surat yang merujuk pedoman COVID-19 yang disertakan dengan USB; Dan mereka yang meniru Amazon tiba di kotak hadiah dekoratif yang berisi surat terima kasih palsu, kartu hadiah palsu dan USB.

Yang pasti, paket berisi perangkat USB bermerek LilyGO.

FBI mengatakan bahwa perangkat mengeksekusi serangan BadUSB. Serangan BadUSB mengeksploitasi kerentanan yang melekat pada firmware USB yang memungkinkan aktor jahat untuk memprogram ulang perangkat USB sehingga dapat bertindak sebagai perangkat antarmuka manusia – yaitu, sebagai keyboard USB berbahaya yang dimuat dengan penekanan tombol yang dieksekusi secara otomatis. Setelah pemrograman ulang, USB dapat digunakan untuk diam-diam mengeksekusi perintah atau menjalankan program jahat pada komputer korban.

Serangan terbaru ini adalah salinan karbon dari serangan 2020, ketika FBI juga mengeluarkan peringatan publik yang menyebut FIN7 sebagai pelakunya.

Cara Mengalahkan Kembali Tongkat BadUSB

Karl Sigler, manajer riset keamanan senior Trustwave SpiderLabs, mengatakan kepada Threatpost pada hari Senin bahwa pelatihan kesadaran keamanan yang sedang berlangsung “harus mencakup jenis serangan dan memperingatkan agar tidak menghubungkan perangkat aneh ke komputer Anda.”

Perangkat lunak perlindungan endpoint juga dapat membantu mencegah serangan ini, katanya.

“Serangan ini dipicu oleh stik USB yang meniru keyboard USB, sehingga perangkat lunak perlindungan titik akhir yang dapat memantau akses ke command shell harus mengurus sebagian besar masalah,” kata Sigler melalui email.

Untuk sistem penting yang tidak memerlukan aksesori USB, pemblokir port USB fisik dan berbasis perangkat lunak juga dapat membantu mencegah serangan ini, Sigler menambahkan.

Untuk bagiannya, ACA Group telah menciptakan akronim “CAPs” untuk merujuk pada kebersihan standar yang harus dipantau secara aktif oleh semua organisasi untuk mencegah serangan ransomware. CAPs mengacu pada Konfigurasi, Akses dan Patching, dengan kesadaran karyawan dan pendidikan lagi dianggap penting juga. CAPs mengacu pada:

Manajemen konfigurasi – Kurangi jumlah titik masuk yang dapat digunakan penyerang untuk mendapatkan akses ke sistem Anda. Banyak serangan berhasil karena ada kesalahan konfigurasi pada perangkat keamanan, konfigurasi cloud dan sebagainya.

Akses – Kurangi jumlah titik akses internal untuk penyerang yang telah memasuki sistem Anda.

Patching – Mengurangi kemungkinan serangan terjadi melalui titik yang tidak diketahui atau masuk, dasar dalam memperbaiki dan kerentanan keamanan dan bug lainnya.

Sumber: Threatpost

Geng Peretas Menciptakan Perusahaan Palsu Untuk Menyewa Pentester Untuk Serangan Ransomware

by

Grup peretas FIN7 mencoba untuk bergabung dengan ruang ransomware yang sangat menguntungkan dengan menciptakan perusahaan keamanan siber palsu yang melakukan serangan jaringan dengan kedok pentesting.

FIN7 (alias ‘Carbanak’) telah terlibat dalam serangan siber dan kampanye pencurian uang sejak 2015 ketika mereka pertama kali muncul di ruang kejahatan siber, termasuk menginfeksi ATM dengan malware yang mendukung MITM.

Karena ransomware telah menjadi bidang yang menguntungkan bagi penjahat dunia maya, dan memiliki pengalaman sebelumnya dengan perusahaan palsu seperti “Combi Security”, grup tersebut mendirikan perusahaan baru untuk memikat spesialis TI yang sah.

Tabir tipis legitimasi di sekitar entitas perusahaan baru ini diangkat oleh para peneliti di Gemini Advisory, yang menemukan bahwa situs web untuk perusahaan keamanan siber palsu yang dikenal sebagai Bastion Security terdiri dari konten yang dicuri dan dikompilasi ulang dari situs web lain.

Yang lebih terlihat adalah bahwa perusahaan tersebut menyatakan bahwa mereka berbasis di Inggris, tetapi situs tersebut menyajikan halaman kesalahan 404 berbahasa Rusia.

Para peneliti Gemini menemukan bahwa FIN7 menawarkan antara $800 dan $1,200 per bulan untuk merekrut programmer C++, PHP, dan Python, administrator sistem Windows, dan spesialis rekayasa balik dengan mengikuti tip dari sumber yang tidak disebutkan namanya.

Dalam persyaratan pekerjaan, para peneliti percaya bahwa kelompok peretas sedang mencari untuk menyewa pentester, karena administrator sistem juga akan memiliki kemampuan untuk memetakan sistem perusahaan yang disusupi, melakukan pengintaian jaringan, dan menemukan server dan file cadangan.

Semua keterampilan ini diperlukan untuk tahap pra-enkripsi serangan ransomware, jadi tampaknya inilah yang FIN7 kejar melalui putaran perekrutan ini.

Selengkapnya: Bleeping Computer

Anggota kelompok peretasan ‘Pen tester’ FIN7 mendapatkan hukuman penjara tujuh tahun

by

Pada hari Kamis, Departemen Kehakiman AS (DoJ) menyebut Andrii Kolpakov, 33 tahun dari Ukraina, sebagai mantan anggota FIN7 yang menjabat sebagai penyerang yang secara internal dirujuk sebagai penguji penetrasi.

Menurut jaksa AS, Kolpakov terlibat dalam FIN7 setidaknya dari April 2016 hingga penangkapannya pada Juni 2018, ketika ia ditangkap oleh penegak hukum di Spanyol dan diekstradisi ke Amerika Serikat setahun kemudian.

Mantan peretas mengelola tim penyerang yang bertanggung jawab untuk membahayakan keamanan sistem target, termasuk bisnis di AS.

FIN7, juga kadang-kadang disebut sebagai Carbanak, mengkhususkan diri dalam pencurian dan penjualan catatan konsumen dari sistem Point-of-Sale (PoS) dari perusahaan. Malware yang digunakan oleh kelompok akan digunakan untuk mengambil rincian kartu pembayaran yang kemudian digunakan untuk melakukan transaksi penipuan atau dijual.

Salah satu metode serangan umum yang digunakan oleh FIN7 adalah Business Email Compromise (BEC), di mana email phishing dikirim ke karyawan perusahaan target yang berisi file berbahaya. Lampiran ini berisi varian malware Carbanak.

selengkapnya : www.zdnet.com

Admin Tingkat Tinggi Kelompok Kejahatan Siber, FIN7, Dihukum 10 Tahun Penjara

by

Seorang manajer tingkat tinggi dari kelompok kejahatan siber FIN7, juga dikenal sebagai Kelompok Carbanak dan Kelompok Navigator, telah dijatuhi hukuman sepuluh tahun penjara, lapor Departemen Kehakiman.

FIN7 telah beroperasi setidaknya sejak 2015 dan memiliki lebih dari 70 orang yang diatur ke dalam unit bisnis dan tim. Meskipun aktivitasnya bersifat global, di Amerika Serikat, FIN7 telah menerobos jaringan komputer perusahaan di seluruh 50 negara bagian dan District of Columbia. Penyerang telah mencuri lebih dari 20 juta catatan kartu pembayaran dari setidaknya 6.500 terminal titik penjualan di lebih dari 3.600 bisnis.

Fedir Hladyr warga negara Ukraina adalah administrator sistem untuk FIN7. Dia ditangkap di Dresden, Jerman pada 2018 atas permintaan penegak hukum AS. Pada 2019 ia mengaku bersalah atas persekongkolan untuk melakukan wire fraud dan satu tuduhan persekongkolan untuk melakukan peretasan komputer.

Sebagai administrator sistem untuk FIN7, Hladyr memainkan peran inti dalam mengumpulkan data yang dicuri, mengawasi penjahat lain dalam grup, dan memelihara jaringan server yang digunakan FIN7 untuk menargetkan dan mengontrol mesin korban. Dia juga menangani saluran komunikasi terenkripsi FIN7.

Selengkapnya: Dark Reading