فروش ابزار فرار امنیتی هکرهای روسی در دارک‌نت

به گزارش کارگروه بین‌الملل سایبربان؛ محققان غربی ادعا کردند که یک گروه هکری روسی موسوم به «FIN7» ابزار سفارشی خود را برای فرار از امنیت در انجمن‌های تاریک نت تبلیغ می‌کند و آن را به سایر باندهای هکری می‌فروشد.

این ابزار که به نام «AvNeutralizer» شناخته می‌شود، توسط هکرها برای دور زدن سیستم‌های تشخیص تهدید در دستگاه‌های قربانیان استفاده می‌شود. محققان قبلاً ادعا کرده بودند که این ابزار به مدت 6 ماه به طور انحصاری توسط گروه هکری دیگری به نام «Black Basta» استفاده می‌شد.

شرکت امنیت سایبری سنتینال وان (SentinelOne) در گزارش جدیدی گفت که چندین گروه باج‌افزاری را با استفاده از نسخه‌های به‌روز شده AvNeutralizer مشاهده کرده که نشان می‌دهد لیست مشتریان دیگر به Black Basta محدود نمی‌شود.

کارشناسان این شرکت امنیت سایبری اظهار داشتند :

«ما معتقدیم که AvNeutralizer احتمالاً در انجمن‌های زیرزمینی جنایی فروخته شده و Black Basta یکی از خریداران و پذیرندگان اولیه است.»

سنتینال وان تبلیغات متعددی را در فروم‌های مختلف زیرزمینی شناسایی کرد که احتمالاً فروش AvNeutralizer را تبلیغ می‌کند. FIN7 برای پنهان کردن هویت خود از نام‌های مستعار مختلفی از جمله «goodsoft»، «froggy»، «killerAV» و «Stupor» استفاده کرد.

قیمت این ابزار از 4000 تا 15 هزار دلار متغیر است. سنتینال وان با اطمینان بالا ارزیابی کرد که این حساب‌ها به خوشه FIN7 تعلق دارند.

کارشناسان مدعی شدند :

«این عوامل تهدید احتمالاً از چندین نام مستعار در انجمن‌های مختلف استفاده می‌کنند تا هویت واقعی خود را پنهان و عملیات‌های غیرقانونی خود را در این شبکه حفظ کنند.»

FIN7 توسعه AvNeutralizer را در آوریل 2022 آغاز کرد. این ابزار برای هر خریدار سفارشی شده است تا سیستم‌های امنیتی خاصی را که انتخاب می‌کند هدف قرار دهد.

از اوایل سال گذشته، AvNeutralizer در نفوذهای متعدد، از جمله با استقرار بعدی گونه‌های باج‌افزاری معروف مانند «AvosLocker»، «MedusaLocker»، «BlackCat»، تریگونا (Trigona) و لاک‌بیت (LockBit) استفاده شده است.

AvNeutralizer چندین بار به‌روز شده است. آخرین نسخه کشف شده توسط سنتینال وان شامل یک روش جدید برای دور زدن امنیت است که قبلاً در طبیعت دیده نشده بود.

به طور خاص، نسخه جدید از یک درایور داخلی ویندوز به نام «ProcLaunchMon.sys» به همراه درایور «Process Explorer» برای تداخل با سیستم‌های امنیتی و جلوگیری از شناسایی استفاده می‌کند.

به گفته کارشناسان، FIN7 از سال 2013 فعال بوده و ظاهراً در روسیه مستقر است. این گروه در صنایعی مانند مهمان‌نوازی، انرژی، امور مالی، فناوری پیشرفته و خرده‌فروشی زیان‌های مالی قابل‌توجهی ایجاد کرد. اوایل ماه آوریل سال جاری، این گروه هکری ظاهراً یک خودروساز بزرگ مستقر در ایالات متحده در اواخر سال گذشته را هدف قرار داد.

سنتینال وان ادعا کرد :

«توسعه FIN7 و تجاری‌سازی ابزارهای تخصصی مانند AvNeutralizer در انجمن‌های زیرزمینی جنایی به طور قابل توجهی تأثیر گروه را افزایش می‌دهد. استفاده این گروه از نام‌های مستعار متعدد و همکاری با دیگر نهادهای مجرم سایبری، انتساب را چالش‌برانگیزتر می‌کند و استراتژی‌های عملیاتی پیشرفته‌اش را نشان می‌دهد.»