Кибергруппировка Fin7 включила новые инструменты в свой набор вредоносных программ и продолжает атаки на коммерческие организации, несмотря на арест трех участников в 2018 году. К такому выводу пришли специалисты компании FireEye после анализа нескольких новых инцидентов, произошедших осенью этого года.

Как сообщили аналитики, киберпреступники взяли на вооружение бестелесный дроппер BOOSTWRITE, а также используют специальную программу для взлома инструментов удаленного администрирования банкоматов. В ходе последних атак злоумышленники доставляли на целевое устройство установщик, который декодировал полезную нагрузку при помощи ключа шифрования, полученного от командного сервера. В ряде случаев программа была подписана действительным сертификатом безопасности, чтобы избежать обнаружения антивирусными сканерами.

Бэкдор RDFSNIFFER нацелен на банкоматы NCR

В качестве полезной нагрузки выступали либо бэкдор Carbanak либо новый зловред RDFSNIFFLER. Последний разработан для внедрения в легитимный RDF-инструмент Aloha Command Center, предназначенный для администрирования киосков самообслуживания, торговых терминалов, банкоматов и других устройств американской компании NCR.

Специалисты выяснили, что RDFSNIFFER загружается в процесс агента, используя недостатки в порядке выполнения библиотек Aloha Command Center. Работая в рамках легитимной задачи, вредонос может отслеживать SSL-сеансы и перехватывать работу с пользовательским интерфейсом удаленного администрирования. Находясь в положении человек посередине, киберпреступники способны выполнять команды и операции с файлами на скомпрометированном устройстве.

Исследователи не сообщили, каким образом злоумышленники попадали на целевые машины, однако ранее Fin7 использовали для этой цели фишинговые письма. ИБ-специалисты известили NCR о своих находках, однако разработчики пока не сообщили о планах по выпуску заплатки, закрывающей проблему.

Предыдущее обновление вредоносных инструментов Fin7 зафиксировали в марте этого года. Тогда, аналитики обнаружили в арсенале группировки загрузчик SQLRat и бэкдор DNSBot. Программы доставлялись на компьютер жертвы через email-рассылки и работали с оригинальной панелью управления Astra.