Die Hackergruppe FIN7 ist mit einer Kampagne zurück, die eine neuartige Backdoor und andere neue bösartige Tools umfasst. FIN7 gilt als einer der wichtigsten Bedrohungsakteure und hat zahlreiche Finanzunternehmen weltweit schwer geschädigt.
Die auf Geld ausgerichtete Gruppe, die auch unter dem Namen Carbanak bekannt ist, hat sich auf BEC-Betrug (Business Email Compromise) und das Eindringen in POS-Systeme (Point-of-Sale) spezialisiert. Die Gruppe versucht, Zahlungskartendaten von Verbrauchern zu stehlen, und hat in den letzten Jahren ihre Angriffsmethoden ständig weiterentwickelt und verfeinert.
Kürzlich brachten Cybersecurity-Forscher FIN7 mit Betreibern von Ransomware in Verbindung, darunter REvil, Darkmatter und Alphv. Trotz der Verhaftungen und der Verurteilung hochrangiger FIN7-Mitglieder gehen die Angriffswellen weiter, wobei die jüngste die Verwendung neuartiger Malware, die Einbeziehung „neuer anfänglicher Zugangsvektoren und eine wahrscheinliche Verlagerung der Monetarisierungsstrategien“ beinhaltet, so Mandiant.
In einem ausführlichen Bericht über die jüngsten Aktivitäten des Bedrohungsakteurs stellte Mandiant fest, dass FIN7 seine anfänglichen Einbruchsmethoden über BEC-Betrug und Phishing-Versuche hinaus weiterentwickelt hat. Jetzt nutzt die Gruppe auch Lieferketten, RDP und gestohlene Anmeldedaten, um in Unternehmensnetzwerke einzudringen.
Die Forscher stellten auch fest, dass eine neue „neuartige“ Backdoor bei den jüngsten Angriffen bevorzugt wird. Die auf PowerShell basierende Backdoor – auch als KillACK bekannt – wird über Griffon, ein leichtgewichtiges Java-Implantat, bereitgestellt und dient dazu, einen dauerhaften Zugriff auf ein Zielsystem aufrechtzuerhalten und Informationen, einschließlich Anmeldeinformationen, zu stehlen.
Mandiant hat außerdem mehrere Kampagnen als das Werk von FIN7 identifiziert. Insgesamt wurden acht separate, nicht kategorisierte (UNC) Bedrohungsgruppen mit FIN7-Aktivitäten zusammengeführt, und weitere 17 stehen im Verdacht, Verbindungen zu der Cyberkriminellen-Organisation zu haben.
„Im Laufe ihrer Entwicklung hat FIN7 das Tempo ihrer Operationen, den Umfang ihrer Angriffe und möglicherweise sogar ihre Beziehungen zu anderen Ransomware-Operationen im cyberkriminellen Untergrund erhöht“, so Mandiant.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…