最新消息:图 床

OpBlueRaven:揭露APT組織 Fin7 / Carbanak之Tirion惡意軟件

COOL IAM 400浏览 0评论

譯者:知道創宇404實驗室翻譯組
原文鏈接:https://threatintel.blog/OPBlueRaven-Part1/

本文旨在為讀者提供有關PRODAFT&INVICTUS威脅情報(PTI)團隊針對不同威脅者的最新詳細信息,以及發現與臭名昭著的Fin7 APT組織合作的人是誰。

所有這些都源自威脅者方面的一次OPSEC故障,我們將嘗試逐步擴展主題,類似於我們在不斷發現的基礎上擴大範圍。

關於Fin7和Carbanak的前所未有的事實:第1部分

在5月至2020年7月之間;PRODAFT威脅情報團隊的四名成員進行了BlueRaven行動。案例研究源於發現一組看似不重要的輕微OpSec故障。當然,後來發現這些威脅因素與臭名昭著的Fin7 / Carbanak威脅因素有聯繫。

PTI的OP源於攻擊者一方的OPSEC故障。與以前發現和發布的數據不同,使此OP如此與眾不同的是,我們設法發現了大量有關攻擊者工具集的未發布信息,這些信息揭示了攻擊者的TTP。

Carbanak Group / Fin7於2014年首次被發現,是世界上最有效的APT組織之一,並且是最早知道的APT組織之一。該組織被認為在全球範圍內造成超過9億美元的損失。我們的OP結果發現了有關這些威脅者的以下關鍵發現:

  • 獲得了Fin7中某些攻擊者的真實身份。
  • 有關Fin7的工具和攻擊方法的詳細證據已經出現。
  • Fin7和REvil勒索軟件組(將在後面的階段中詳細介紹)之間的關係已經出現。

撰寫此報告旨在提高認識並協助網絡安全專家進行分析。當然,PRODAFT的一些發現已被刪除。因此,授權機構可以與PRODAFT或INVICTUS聯繫以進行進一步的披露。

每篇文章都將討論操作的特定方面,包括但不限於攻擊方法,組織和攻擊者的身份。我們的團隊設法竊聽了攻擊者之間的各種刺耳對話。這些對話中的大多數也將在整個系列中發布。

Carbanak後門

Carbanak Backdoor是我們小組獲得的第一批發現之一。
當前版本的CARBANAK後門程序(團隊中最知名的工具,即Carbanak組的名字)是引起我們團隊關注的第一個工具。根據PE文件標題在2019年11月編譯的“ 3.7.5”版本是後門命令和控制服務器的最新檢測到版本。下面的屏幕快照提供了“ 3.7.5”版Carbanak後門管理面板的屏幕截圖。

转载请注明:IAMCOOL » OpBlueRaven:揭露APT組織 Fin7 / Carbanak之Tirion惡意軟件

0 0 vote
Article Rating
Subscribe
Notify of
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x