SentinelOne的研究人员警告说,出于经济动机的FIN7组织正在使用多个假名在几个犯罪地下论坛上宣传安全规避工具。FIN7开发了一种名为AvNeutralizer(也称为AuKill)的工具,可以绕过安全解决方案。研究人员注意到,该工具已被各种勒索软件操作使用,包括 AvosLocker、MedusaLocker、BlackCat、Trigona 和 LockBit。SentinelLabs 研究人员发现了一种新版本的 AvNeutralizer,它采用一种新技术,利用 Windows 驱动程序ProcLaunchMon.sys来干扰和规避安全措施。“新的证据表明,FIN7正在使用多个假名来掩盖该组织的真实身份,并维持其在地下市场的犯罪活动,”SentinelLabs发布的报告写道。“FIN7 的活动表明该组织采用自动 SQL 注入攻击来利用面向公众的应用程序”11 月,SentinelOne 报告称,FIN7 与在涉及 Black Basta 组织的勒索软件攻击中使用 EDR 规避工具之间存在潜在联系。网络安全公司进行的调查显示,“AvNeutralizer”工具(又名AuKill)针对多个端点安全解决方案,并且仅由一个团体使用六个月。这强化了FIN7集团和Black Basta团伙可能关系密切的假设。从 2023 年 1 月开始,专家们观察到多个勒索软件组织使用了 AvNeutralizer 的更新版本,这表明该工具被提供给地下论坛上的多个威胁行为者。研究人员在地下论坛上发现了多个广告,这些广告促进了AvNeutralizer的销售。2022 年 5 月 19 日,一位名叫“goodsoft”的用户以 4,000 美元的价格宣传了一款 AV 杀手工具。在论坛中。后来,在 2022 年 6 月 14 日,一位名叫“lefroggy”的用户在 xss[.] 上发布了类似的广告。是 15,000 美元的论坛。一周后的 6 月 21 日,一位名叫“killerAV”的用户在 RAMP 论坛上以 8,000 美元的价格宣传了该工具。2022 年 8 月 10 日,一个名为“goodsoft”的用户以每月 6,500 美元的价格宣传“PentestSoftware”。在网络犯罪论坛中。卖方将该解决方案描述为一个开发后框架,其模块旨在渗透企业网络并规避防病毒程序,据称已开发超过三年,耗资 100 万美元。用户“killerAV”和“lefroggy”的类似广告出现在 RAMP 和 xss[.] 上。是论坛。2023 年 3 月 28 日,“Stupor”在 xss 上以 10,000 美元的价格宣传了一款 AV 杀手级工具。是,它被标识为 AvNeutralizer 的更新版本。分析表明,“goodsoft”、“lefroggy”、“killerAV”和“Stupor”是 FIN7 集群的一部分,使用多个假名来掩盖他们的身份。SentinelOne的研究人员专注于该工具用于禁用端点安全解决方案的新技术。未包装的 AvNeutralizer 有效载荷采用的 10 种技术来篡改系统安全解决方案。虽然记录了许多技术,例如通过 RTCore64.sys 驱动程序删除 PPL 保护和使用重启管理器 API,但新观察到的一种技术涉及利用以前未知的 Windows 内置驱动程序功能。AvNeutralizer 使用多个驱动程序和操作在受保护的进程中触发拒绝服务 (DoS) 条件。这包括:删除并加载进程资源管理器驱动程序 (PED.sys) 并连接到驱动程序设备。加载ProcLaunchMon.sys驱动程序并配置 TTD 监视会话。将目标进程 PID 添加到 TTD 会话,从而挂起新生成的子进程。使用进程资源管理器驱动程序终止不受保护的子进程。导致受保护的进程崩溃,因为它无法与其挂起的子进程通信。这项新技术突出了 AvNeutralizer 禁用端点安全解决方案的高级功能。“我们对 FIN7 活动的调查凸显了其作为威胁组织的适应性、持久性和持续演变。在其活动中,FIN7采用了自动攻击方法,通过自动SQL注入攻击针对面向公众的服务器。“此外,它在犯罪地下论坛中开发和商业化了AvNeutralizer等专业工具,大大增强了该组织的影响力。”
