به گزارش مرکز ماهر، محققان، ابزاری جدید منتسب به گروه هکرهای FIN7 را با نام #BIOLOAD که با هدف به حداقل رساندن ردپای موجود در دستگاه قربانی و جلوگیری از مورد شناسایی قرار گرفتن ایجاد شده است را شناسایی کردهاند. این ابزار جدید شباهتهایی با ابزار BOOSTWRITE FIN7 دارد که از دستور جستجوی DLL برای اجرای برنامه سوءاستفاده میکند. BOOSTWRITE از”Dwrite.dll” ارائه شده توسط سرویس تایپوگرافی DirectX مایکروسافت، سوءاستفاده میکند.
ابزار جدید FIN7
ابزار BIOLOAD نسخه جدیدی از ابزار BOOSTWRITE با پایه کد یکسان هستند و Carbanak backdoor را ایجاد میکنند. هر دو ابزار با بکارگیری DLL های مورد نیاز در بارگیری یک برنامه از سیستمعامل ویندوز سوءاستفاده میکنند. مهاجمین با قرار دادن نسخه جعلی WinBio.dll (حاوی حروف بزرگ) در همان پوشه FaceFodUninstaller با آدرس “%WINDR%\System32\WinBioPlugIns” در دستگاه قربانی و داشتن دسترسی ادمین یا یک حساب کاربری سیستم این کار را میسر میسازند، سایت Fortinetنیز مطلبی را در این خصوص پست کرده است.
ابزارBIOLOAD با زبان C++ نوشته شده و در مارس و ژوئیه سال 2019 کامپایل شده است و به طور خاص دستگاههایی با سیستم عامل 64 بیتی را هدف قرار میدهد. این ابزار دارای یک پیلود رمزگذاری شده مانند BOOSTWRITE است که برای رمزگشایی از الگوریتم XOR یا fetches استفاده میکند که مانند BOOSTWRITE، تنها از یک پیلود پشتیبانی میکند.
محققان خاطرنشان كردند كه با backdoor ایجاد شده ابزار سیستم را چک میکند که آیا علاوه بر Kaspersky، AVG وTrendMicro ، انتي ويروس دیگری نیز روی اين دستگاه اجرا شده است یا خیر. با این حال، نتیجه بر خلاف AV های قبلی که شناسایی شدهاند، تأثیرگذاری بر روی backdoor ندارد.
به نظر میرسد گروه هکر FIN7 از اواسط سال 2015 فعال است، این گروه همچنان ابزارهای جدیدی را به منظور دور زدن و شکست راه حلهای امنیتی توسعه میدهند.
هر دو ابزار BIOLOAD و نسخه جدید Carbanak توسط بیشتر موتورهای AV کشف نشدهاند، در پایین نتایج حاصل از پویش سامانه Virus total نشان داده شده است.
IOCs
WinBio.dll (scrubbed key and payload) SHA256
7bdae0dfc37cb5561a89a0b337b180ac6a139250bd5247292f470830bd96dda7
c1c68454e82d79e75fefad33e5acbb496bbc3f5056dfa26aaf1f142cee1af372
Carbanak SHA256
77a6fbd4799a8468004f49f5929352336f131ad83c92484b052a2eb120ebaf9a
42d3cf75497a724e9a9323855e0051971816915fc7eb9f0426b5a23115a3bdcb
منبع: