Attacco mirato ad una industria automobilistica negli USA

Il gruppo di cybercriminalità FIN7, noto anche come Carbon Spider, ELBRUS e Sangria Tempest, ha lanciato una campagna di spear-phishing contro un’importante azienda automobilistica negli Stati Uniti alla fine del 2023.

La catena d’attacco

Il gruppo ha preso di mira dipendenti del reparto IT con elevati diritti amministrativi, utilizzando il pretesto di uno strumento gratuito di scansione IP per eseguire la backdoor Anunak/Carbanak, fornire payload aggiuntivi come POWERTRASH e stabilire la persistenza installando OpenSSH per l’accesso remoto.

Fonte BlackBerry

In pratica le e-mail di phishing contenevano un link “advanced-ip-sccanner[.]com” (typosquatting del sito legittimo “advanced-ip -scanner[.]com”) per il download dello scanner IP online gratuito. Questo sito falso reindirizzava successivamente verso “myipscanner[.]com” per scaricare l’eseguibile “WsTaskLoad.exe” da risorsa dropbox sul computer della vittima .

FIN7

FIN7 è un gruppo APT di origine russa attivo dal 2013, finanziariamente motivato e precedentemente focalizzato sui settori del retail, della ristorazione e dell’ospitalità negli Stati Uniti. Negli ultimi anni, ha esteso il suo raggio d’attacco verso i settori più ampi dei trasporti, delle assicurazioni e della difesa. Di solito, FIN7 distribuisce ransomware come payload finale.

Mitigazioni

Questo attacco è risultato essere parte di una campagna più ampia di FIN7. Il team di ricerca e intelligence delle minacce di BlackBerry ha rilevato la compromissione e ha fermato con successo l’intrusione prima che FIN7 potesse lanciare un attacco ransomware.

La rilevazione tempestiva di intrusioni da parte di FIN7 può mitigare la compromissione completa della rete e le grandi perdite finanziarie tipicamente associate al ransomware. Investire in solide misure di sicurezza informatica e monitorare attentamente le attività sospette può aiutare a prevenire gravi conseguenze finanziarie e danni reputazionali.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.