Аналитики Microsoft сообщают, что в прошлом месяце нашумевшая хакерская группировка FIN7 (также известна под названиями Carbanak, Navigator и другими) возобновила свою активность. Исследователям удалось связать FIN7 с атаками, конечной целью которых было развертывание вымогателя Clop в сетях жертв.
«Финансово мотивированная киберпреступная группа Sangria Tempest (ELBRUS, FIN7) вышла из длительного периода бездействия, — сообщает Microsoft Security Intelligence в Twitter. — В апреле 2023 года было замечено, что группа использует программу-вымогатель Clop в оппортунистических атаках, и это ее первая вымогательская кампанией с конца 2021 года».
Сообщается, что в ходе новых атак злоумышленники использовали in-memory дроппер POWERTRASH на базе PowerShell для развертывания на скомпрометированных устройствах инструмента для пост-эксплуатации Lizar.
Таким образом злоумышленники закрепляются в целевой сети и приступают к боковому перемещению, чтобы потом, с помощью OpenSSH и Impacket, развернуть в сети компании-жертвы шифровальщика Clop.
По информации Microsoft, Clop — это лишь очередная новая малварь, используемая FIN7. Так, ранее группировку связывали с REvil и Maze, а затем с ныне несуществующими BlackMatter и DarkSide RaaS.
Кроме того, СМИ ссылаются на приватный аналитический отчет Microsoft и сообщают, что FIN7 связана с атаками на серверы управления печатью PaperCut, что в итоге становится частью атак таких вредоносов, как Clop, Bl00dy и LockBit.
В закрытом отчете аналитики Microsoft пишут, что финансовая мотивированная группировка FIN11, которую компания отслеживает под кодовым именем Lace Tempest, использовала новые инструменты, включая PowerShell-скрипт inv.ps1 , который исследователи связывают с FIN7.
Этот скрипт применялся для развертывания упомянутого выше инструментария Lizar, что, вероятно, свидетельствует о том, что операторы двух группировок объединили усилия или начали обмениваться инструментами для атак.
