De beruchte hacker groep FIN7 is gespot terwijl ze hun aangepaste “AvNeutralizer” tool verkopen, die wordt gebruikt om detectie te ontwijken door enterprise endpoint beschermingssoftware op bedrijfsnetwerken uit te schakelen.

Er wordt aangenomen dat FIN7 een Russische hackergroep is die sinds 2013 actief is en aanvankelijk focuste op financiële fraude door organisaties te hacken en debet- en creditcards te stelen.

Later stapten ze over naar de ransomware-sector en werden ze in verband gebracht met de DarkSide en BlackMatter ransomware-as-a-service platforms. Dezelfde dreigingsactoren worden hoogstwaarschijnlijk ook gelinkt aan de BlackCat ransomware operatie, die onlangs een exit scam uitvoerde na het stelen van een losgeldbetaling van UnitedHealth.

FIN7 staat bekend om zijn geavanceerde phishing- en engineering aanvallen om aanvankelijk toegang te verkrijgen tot bedrijfsnetwerken, waaronder het zich voordoen als BestBuy om kwaadaardige USB-sleutels te versturen en het ontwikkelen van aangepaste malware en tools.

Om hun exploits verder uit te breiden, creëerden ze een nepbeveiligingsbedrijf genaamd Bastion Secure om pentesters en ontwikkelaars in te huren voor ransomware-aanvallen zonder dat de sollicitanten wisten hoe hun werk werd gebruikt.

FIN7 hackers worden ook gevolgd onder andere namen, waaronder Sangria Tempest, Carbon Spider en de Carbanak Group.

FIN7 verkoopt tools aan andere hackers

In een nieuw rapport van SentinelOne zeggen onderzoekers dat een van de aangepaste tools die door FIN7 is gecreëerd “AvNeutralizer” (ook bekend als AuKill) is, een tool die veiligheidssoftware uitschakelt en voor het eerst werd gezien bij aanvallen door de BlackBasta ransomware operatie in 2022.

Aangezien BlackBasta destijds de enige ransomware-operatie was die de tool gebruikte, geloofden de onderzoekers dat er een verband was tussen de twee groepen.

Echter, SentinelOne’s historische telemetrie heeft aangetoond dat de tool werd gebruikt in aanvallen door vijf andere ransomware operaties, wat wijst op een brede distributie van de tool.

“Sinds begin 2023 onthult onze telemetriegegevens talloze inbreuken waarbij verschillende versies van AvNeutralizer zijn betrokken,” legt een rapport uit door SentinelOne onderzoeker Antonio Cocomazzi.

“Ongeveer 10 van deze worden toegeschreven aan menselijke ransomware-inbreuken die goed bekende RaaS-payloads hebben ingezet, waaronder AvosLocker, MedusaLocker, BlackCat, Trigona en LockBit.”

Verder onderzoek onthulde dat dreigingsactoren die opereren onder de aliassen “goodsoft”, “lefroggy”, “killerAV” en “Stupor” sinds 2022 een “AV Killer” verkopen op Russisch sprekende hackfora voor prijzen variërend van $4.000 tot $15.000.

Een rapport uit 2023 van Sophos beschreef hoe AvNeutralizer/AuKill de legitieme SysInternals Process Explorer driver misbruikte om antivirusprocessen die op een apparaat draaien te beëindigen.

De dreigingsactoren beweerden dat deze tool gebruikt zou kunnen worden om elke antivirus/EDR software te doden, inclusief Windows Defender en producten van Sophos, SentinelOne, Panda, Elastic en Symantec.

SentinelOne ontdekte nu dat FIN7 de AVNeutralizer heeft bijgewerkt om de Windows ProcLaunchMon.sys driver te gebruiken om processen op te hangen, waardoor ze niet langer correct functioneren.

“AvNeutralizer gebruikt een combinatie van drivers en operaties om een fout te creëren in enkele specifieke implementaties van beschermde processen, wat uiteindelijk leidt tot een denial of service-conditie,” legt SentinelOne uit.

“Het gebruikt de TTD-monitor driver ProcLaunchMon.sys, beschikbaar in standaard systeeminstallaties in de systeemdrivers-directorie, in combinatie met bijgewerkte versies van de process explorer driver met versie 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), die gehard is voor misbruik van cross-process operaties en momenteel niet geblokkeerd is door de Microsoft WDAC-lijst.”

SentinelOne vond aanvullende aangepaste tools en malware die door FIN7 werden gebruikt, die niet bekend zijn te worden verkocht aan andere dreigingsactoren:

Powertrash (een PowerShell backdoor), Diceloader (een lichtgewicht C2-gestuurde backdoor), Core Impact (een penetratie test toolkit), en een SSH-gebaseerde backdoor.

De onderzoekers waarschuwen dat de voortdurende evolutie en innovatie van FIN7 in tooling en technieken, evenals het verkopen van hun software, een significante bedreiging vormen voor bedrijven wereldwijd.

“FIN7’s continue innovatie, met name in hun geavanceerde technieken om beveiligingsmaatregelen te omzeilen, toont hun technische expertise,” concludeert SentinelOne onderzoeker Antonio Cocomazzi.

“Het gebruik van meerdere pseudoniemen en samenwerking met andere cybercriminelen maakt attributie uitdagender en demonstreert hun geavanceerde operationele strategieën.”