Sommario
Il gruppo di criminali informatici finanziariamente motivato, noto come FIN7, ha recentemente mirato ai dipendenti del dipartimento IT di un importante produttore di automobili americano attraverso sofisticate tecniche di spear-phishing. Gli attaccanti hanno cercato di infiltrarsi nei sistemi per installare backdoor e potenzialmente diffondere ransomware.
Dettagli dell’attacco
L’attacco è avvenuto verso la fine dell’anno scorso e ha impiegato tecniche di living-off-the-land binaries, script e librerie (LoLBas), che sfruttano software legittimo o funzionalità di sistema per mascherare attività maligne. FIN7 ha particolarmente puntato a individui con privilegi elevati, attirandoli con link a un URL malevolo che imitava lo strumento legittimo Advanced IP Scanner.
Tattiche e Tecniche
I link fraudolenti nei messaggi di phishing redirigevano le vittime a un sito di typosquatting, che a sua volta indirizzava a una pagina Dropbox contenente un eseguibile malevolo. Questo file, una volta eseguito, innescava un processo multi-stadio che culminava con l’installazione del backdoor Anunak, noto anche come Carbanak. Questo backdoor consente agli aggressori di controllare il sistema infetto e di potenzialmente esfiltrare dati o distribuire ulteriori carichi utili di malware.
Contromisure e Raccomandazioni
BlackBerry, che ha analizzato l’attacco, ha osservato che l’attacco non è riuscito a procedere oltre il sistema inizialmente infetto verso una fase di movimento laterale. Tuttavia, l’evento sottolinea l’importanza di difendersi efficacemente contro il phishing, che rimane il vettore di intrusione più comune. Le aziende sono incoraggiate a implementare l’autenticazione multi-fattore (MFA) su tutti gli account utente, a utilizzare password forti e uniche, a mantenere aggiornato il software e a monitorare la rete per comportamenti sospetti. Soluzioni avanzate di filtraggio delle email possono anche aiutare a proteggere contro un’ampia gamma di attacchi.
L’attacco di FIN7 dimostra la continua minaccia posta dai gruppi di hacker finanziariamente motivati e la necessità per le aziende di rimanere vigili, particolarmente quelle in settori ad alta visibilità come la produzione automobilistica. Preparazione e prevenzione rimangono essenziali per difendere le infrastrutture critiche e le informazioni sensibili.
