FIN7 dosyasız malware
Carbanak grubuyla yakından bağlantılı olan FIN7, tespit edilmesi zor, dosya kullanmayan zararlı bir yazılımla restaurantları hedef alan kimlik avı saldırısının arkasında olduğu anlaşıldı.
Marphisec Lab’da çalışan araştırmacılar, Cuma günü yayınladıkları bir bildiride “yazılımı en gelişmiş güvenlik istemlerini dahi aşmasını sağlayan tekniklere daha önce hiç rastlamamıştık” deniliyor.
Yazılımın tespitinin zor olması nedeniyle kurumlar için ciddi risk taşıdığını söyleyen araştırmacılar, virüs içeren dosyayı taşıyan belgelerin VirusTotal’da yapılan taramadan sıfır tespitle çıktığı belirtildi.
Morphisec’te araştırma ve geliştirme başkan yardımcısı olan Michael Gorelik “Bu demektir ki saldırganlar bir çok güvenlik çözümlerinin kullandığı statik analizi başarıyla atlatabiliyorlar” diyor.
Şu an itibariyle ‘dosyasız saldırı’ olarak adlandırılan saldırı tipinin Amerika çapındaki restaurantları hedef aldığını belirten araştırmacı, FIN7 saldırganlarının amaçlarının sistem kontrolünü ele geçirmek ve finansal bilgileri almak üzere bir trojan yerleştirmek olduğunu belirtiyorlar. Saldırının ilk bulgusu, tipik bir dosyasız yazılım olduğu yönünde. Öncelikle üzerinde iyi çalışılmış bir kimlik avı epostası RTF Word dökümanı eklenmiş olarak gönderiliyor. Dosya açıldığında shellkod aşamasını (Meterpreter) devreye sokan DNS sorgularına dayalı dosyasız saldırı başlatılmış oluyor.
Morphisec Lab araştırmacılarına göre trik nokta shellkod safhasını başlatan DNS sorgularının kullanımında yatıyor. “Bu yeni tip saldırıda tüm DNS faaliyetleri yalnızca hafızaya yerleştirilerek çalıştırılıyor. Diğer saldırılarda ise PowerShell komutları kullanılıyordu.”
FIN7’nin dosyasız zararlı yazılım kampanyası Mart ayında finans ve devlet kurumlarını hedef almıştı. Önceki PowerShell yazılımı sistemde backdoor açarak komut-ve-kontrol sunucusundan komutları alıyordu. Şimdiki FIN7 saldırıları ise farklı. DNS sorgularını ve shellkod’u kullanarak daha etkin şekilde gizli faaliyet gösteren saldırganlar, gelecekte saldırılarını arttırarak daha üretken saldırılar düzenleyebilirler. OpenDNS data analizine göre FIN7 şu anda saatte 10.000 DNS sorgusu ile zirveye ulaşan büyük çapta saldırılar düzenliyor.
Gorelik “Bu saldırının shellkod aşaması özgün bir yapıya sahip ve saldırganların kabiliyetlerinin sürekli geliştiğine işaret ediyor. Shellkod bu saldırı ile FIN7’nin önceki saldırıları ya da diğer tehdit aktörlerinin saldırılarını farklı kılan yegane faktör” diyor.
Zararlı eklentiler restaurantlara yönelik konularla gönderiliyorlar ve genel adlandırılmaları ‘menu.rtf’, ‘Olive Garden.rtf’ ya da ‘Chick Fil A Order.rtf’ şeklinde oluyor. Araştırmacılar “Ekli RTF dosyası OLE kullanıyor ve daha önceki FIN7 saldırıları ile bir çok benzerliklere sahip. Fakat bu saldırı, bağlantı içerisindeki HTA dosyalarını (mshta.exe) çalıştırmak yerine, gizli JavaScript kodunu çalıştırıyor” diyorlar.
