Hacker saying shhh

Sentinel Labs のセキュリティ研究者は、Black Basta ランサムウェア ギャングを「Carbanak」としても知られる金銭目的のハッキング グループ FIN7 に関連付ける証拠を発見しました。

ランサムウェアグループが攻撃に使用したツールを分析したところ、FIN7 の開発者が 2022 年 6 月以降、Black Basta だけが使用する EDR (Endpoint Detection and Response) 回避ツールも作成した兆候が見られました。

この 2 つを関連付けるさらなる証拠には、2022 年初頭に FIN7 によって使用され、数か月後に実際の Black Basta 攻撃で見られた IP アドレスと特定の TTP (戦術、手法、および手順) が含まれます。

バックグラウンド

FIN7 はロシア語を話す金銭目的のハッキング グループで、少なくとも 2015 年から活動しており、POS マルウェアを展開し、何百もの企業に対して標的型スピア フィッシング攻撃を仕掛けています。

2020 年にこのグループはランサムウェア空間の探索を開始し、2021 年 10 月までに、独自のネットワーク侵入操作を設定したことが明らかになりました。

2022 年の Mandiant のレポートによると、FIN7 は、Maze、Ryuk、Darkside、BlackCat/ALPHV などのさまざまなランサムウェア ギャングと協力しており、最初の侵害を実行したようです。

Black Basta は 2022 年 4 月に開始されたランサムウェア オペレーションであり、複数の著名な被害者を即座に発表し、多くのアナリストに、それがConti のブランド変更である、または少なくとも現在シャットダウンされているオペレーションのメンバーを含んでいると確信させることで、以前の経験の兆候を示しています。

新しいランサムウェア オペレーションは非公開のプロファイルを維持しており、ランサムウェアをサービスとして宣伝したり、アフィリエイトを募集したりしておらず、プライベート グループである可能性があることを示しています。

FIN7開発者

2022 年 6 月以降、Black Basta はメンバー専用のカスタム EDR 回避ツールを展開していることが確認されました。

Sentinel Labs は、このツールをさらに詳しく調べたところ、偽の Windows セキュリティ GUI とトレイ アイコンを表示する実行可能ファイル「WindefCheck.exe」を発見しました。これにより、ユーザーは Windows Defender が正常に動作していると錯覚するようになります。

ただし、バックグラウンドでは、マルウェアは Windows Defender、EDR、およびウイルス対策ツールを無効にし、データの流出と暗号化プロセスを危険にさらすものは何もないようにします.

このツールを以下に示します。上部の画像は偽の Windows セキュリティ画面を示しており、さまざまなセキュリティ設定が有効になっているように見え、デバイスを保護しています。

ただし、下の画面には、これらのセキュリティ設定が無効になっている実際のステータスが表示されます。

Windows で通常のセキュリティ ステータスを偽装するツール
偽の Windows セキュリティ画面を表示し、その下に本物の画面を表示するツール(Sentin Labs)

アナリストは、そのツールにリンクされたさらに多くのサンプルを取得し、少なくとも 2018 年から FIN 7 が使用および開発しているバックドアである「 SocksBot 」として特定された、未知のパッカーが詰め込まれたサンプルを発見しました。

さらに、バックドアは「pq.hosting」に属する C2 IP アドレスに接続します。これは、FIN7 が信頼して定期的に使用している防弾ホスティング プロバイダーです。

「Black Basta が使用する障害ツールを開発している脅威アクターは、FIN7 の操作で使用されるパッカーのソース コードにアクセスできるアクターと同じである可能性が高いと判断し、2 つのグループ間の接続の可能性を初めて確立しました」

FIN7 と Black Basta の関係を示す追加の証拠は、2022 年初頭に行われた FIN7 の Cobalt Strike と Meterpreter C2 フレームワークを使用したシミュレートされたマルウェア投下攻撃の実験に関するものです。

同じパッカーでパックされた Cobalt Strike ビーコンと SocksBot サンプル
同じパッカーでパックされた Cobalt Strike ビーコンと SocksBot サンプル(Sentinel Labs)

正確なカスタム ツール、プラグイン、配信方法を使用した同じ活動が、数か月後に Black Basta による実際の攻撃で観察されました。

これらの技術的な類似点は、Fin7 メンバーが Black Basta 作戦の一部であることを示していますが、攻撃中に独自のツールを使用してグループ、オペレーター、または関連会社の単なる開発者であるかどうかはまだ不明です。

Black Basta の TTP について詳しく知りたい方のために、研究者の Max Malyutin は月曜日にレポートを公開し、 QBot 感染と AV 回避がグループのランサムウェアの最終的な展開にどのように関連しているかを詳しく説明しています。