Kötü şöhretli FIN7 hack grubu, kurumsal ağlardaki uç nokta koruma yazılımlarını öldürerek tespitten kaçmak için kullanılan özel “AvNeutralizer” aracını satarken görüldü. SentinelOne tarafından yayınlanan yeni bir raporda, araştırmacılar FIN7 tarafından oluşturulan özel araçlardan birinin “AvNeutralizer” (diğer adıyla AuKill) olduğunu ve bu aracın ilk olarak 2022 yılında BlackBasta fidye yazılımı operasyonu tarafından gerçekleştirilen saldırılarda tespit edilen güvenlik yazılımlarını öldürmek için kullanıldığını söylüyor.

BlackBasta o dönemde bu aracı kullanan tek fidye yazılımı operasyonu olduğundan, araştırmacılar iki grup arasında bir bağlantı olduğuna inanıyordu. Ancak SentinelOne’ın geçmiş telemetrisi, aracın diğer beş fidye yazılımı operasyonu tarafından saldırılarda kullanıldığını ve aracın geniş bir dağılım gösterdiğini ortaya koydu.

SentinelOne araştırmacısı Antonio Cocomazzi tarafından hazırlanan bir raporda, “2023’ün başlarından bu yana, telemetri verilerimiz AvNeutralizer’ın çeşitli sürümlerini içeren çok sayıda izinsiz giriş olduğunu ortaya koyuyor” deniyor. “Bunların yaklaşık 10 tanesi, AvosLocker, MedusaLocker, BlackCat, Trigona ve LockBit gibi iyi bilinen RaaS yüklerini kullanan, insan tarafından işletilen fidye yazılımı saldırılarıyla ilişkilendiriliyor.”

Daha fazla araştırma, “goodsoft”, “lefroggy”, “killerAV” ve “Stupor” takma adları altında faaliyet gösteren tehdit aktörlerinin 2022’den beri Rusça konuşulan bilgisayar korsanlığı forumlarında 4.000 ila 15.000 $ arasında değişen fiyatlarla bir “AV Killer” sattığını ortaya çıkardı.

Tehdit aktörleri, bu aracın Windows Defender ve Sophos, SentinelOne, Panda, Elastic ve Symantec ürünleri de dahil olmak üzere herhangi bir antivirüs/EDR yazılımını öldürmek için kullanılabileceğini iddia ediyor. SentinelOne şimdi FIN7’nin AVNeutralizer’ı Windows ProcLaunchMon.sys sürücüsünü kullanarak süreçleri askıya alacak ve artık düzgün çalışmamalarını sağlayacak şekilde güncellediğini tespit etti.

SentinelOne, “AvNeutralizer, korunan süreçlerin bazı özel uygulamalarında bir hata oluşturmak için sürücülerin ve işlemlerin bir kombinasyonunu kullanır ve sonuçta bir hizmet reddi durumuna yol açar. Varsayılan sistem kurulumlarında sistem sürücüleri dizininde bulunan TTD monitör sürücüsü ProcLaunchMon.sys’yi, çapraz süreç işlemlerinin kötüye kullanımı için güçlendirilmiş ve şu anda Microsoft’un WDAC listesi tarafından engellenmemiş olan 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844) sürümüne sahip süreç gezgini sürücüsünün güncellenmiş sürümleriyle birlikte kullanmaktadır” diyor.

FIN7 hack grubu kim, neden önemli?

FIN7’nin 2013’ten beri aktif olan ve başlangıçta kurumları hackleyip banka ve kredi kartlarını çalarak finansal dolandırıcılığa odaklanan bir Rus hack grubu olduğuna inanılıyor. Daha sonra fidye yazılım alanına geçtiler ve DarkSide ve BlackMatter fidye yazılım platformlarıyla bağlantılı oldular. Aynı tehdit aktörlerinin yakın zamanda UnitedHealth fidye ödemesini çaldıktan sonra bir çıkış dolandırıcılığı gerçekleştiren BlackCat fidye yazılımı operasyonuyla da bağlantılı olması muhtemel.

FIN7, kötü amaçlı USB anahtarları göndermek için BestBuy’ı taklit etmek ve özel kötü amaçlı yazılım ve araçlar geliştirmek de dahil olmak üzere kurumsal ağlara ilk erişimi elde etmek için sofistike kimlik avı ve mühendislik saldırılarıyla tanınır.

FIN7 ayrıca İstismarlara ek olarak, Bastion Secure adında sahte bir güvenlik şirketi kurarak, fidye yazılımı saldırıları için, başvuru sahiplerinin çalışmalarının nasıl kullanıldığını bilmeden pentester ve geliştiricileri işe almıştı.