Il gruppo di cybercriminalità FIN7, noto anche come Carbon Spider, ELBRUS e Sangria Tempest, ha lanciato una campagna di spear-phishing contro un’importante azienda automobilistica negli Stati Uniti alla fine del 2023.
La catena d’attacco
Il gruppo ha preso di mira dipendenti del reparto IT con elevati diritti amministrativi, utilizzando il pretesto di uno strumento gratuito di scansione IP per eseguire la backdoor Anunak/Carbanak, fornire payload aggiuntivi come POWERTRASH e stabilire la persistenza installando OpenSSH per l’accesso remoto.
In pratica le e-mail di phishing contenevano un link “advanced-ip-sccanner[.]com” (typosquatting del sito legittimo “advanced-ip -scanner[.]com”) per il download dello scanner IP online gratuito. Questo sito falso reindirizzava successivamente verso “myipscanner[.]com” per scaricare l’eseguibile “WsTaskLoad.exe” da risorsa dropbox sul computer della vittima .
FIN7
FIN7 è un gruppo APT di origine russa attivo dal 2013, finanziariamente motivato e precedentemente focalizzato sui settori del retail, della ristorazione e dell’ospitalità negli Stati Uniti. Negli ultimi anni, ha esteso il suo raggio d’attacco verso i settori più ampi dei trasporti, delle assicurazioni e della difesa. Di solito, FIN7 distribuisce ransomware come payload finale.
Mitigazioni
Questo attacco è risultato essere parte di una campagna più ampia di FIN7. Il team di ricerca e intelligence delle minacce di BlackBerry ha rilevato la compromissione e ha fermato con successo l’intrusione prima che FIN7 potesse lanciare un attacco ransomware.
La rilevazione tempestiva di intrusioni da parte di FIN7 può mitigare la compromissione completa della rete e le grandi perdite finanziarie tipicamente associate al ransomware. Investire in solide misure di sicurezza informatica e monitorare attentamente le attività sospette può aiutare a prevenire gravi conseguenze finanziarie e danni reputazionali.