به گزارش محققان امنیتی فلشپوینت، نفوذگران گروه FIN7 در پویش اخیر خود از یک نمونهی بدافزاری جدید برای انگیزههای مالی استفاده کردهاند. طبق ادعای وزارت دادگستری آمریکا، این گروه که از سال ۲۰۱۵ میلادی فعالیت خود را آغاز کرده است، بهمنظور سرقت اطلاعات کارتهای اعتباری، کسبوکارهای سراسر جهان از جمله بیش از ۱۰۰ شرکت آمریکایی، اغلب در بخشهای رستوران، بازی و هتلها را مورد هدف قرار داده است. به گفتهی فلشپوینت، سه تن از اتباع اوکراینی که سال گذشته به اتهام سرقت اطلاعات بیش از ۱۵میلیون کارت اعتباری دستگیر شده بودند، عضو این گروه سایبری بودهاند.
اخیرا، این شرکت امنیتی ادعا کرده است که شواهدی از یک پنل مدیریتی و نمونهی بدافزاری جدید را که از ماه می تا ژانویهی سال ۲۰۱۸ در یک پویش به نام Astra مورد استفاده قرار گرفته، کشف کرده است. این پنل جدید که با زبان برنامهنویسی PHP نوشته شده و بهعنوان یک سیستم مدیریت اسکریپت عمل میکند، موجب هدف قرار دادن رایانههای آسیبدیده با اسکریپتهای حمله میشود. براساس گزارش وزارت دادگستری آمریکا، شرکت Combi Security که یک شرکت تست نفوذ و خدمات امنیتی مستقر در روسیه و رژیم صهیونیستی است، توسط گروه FIN7 برای استخدام سایر نفوذگران مورد استفاده قرار میگیرد.
به گزارش فلشپوینت، این حملات با ارسال ایمیلهای فیشینگ حاوی پیوستهای مخرب طراحیشده برای نصب بدافزار بر روی دستگاههای قربانیان آغاز شدهاند. این حملات میتوانند توسط بدافزارهای جدید SQLRat، بدافزاری برای اجرای فایلها و اسکریپتهای SQL بر روی میزبان، و یا درب پشتی چندپروتکلهی DNSbot برای تغییر فرمانها و دانلود یا دسترسی به دادهها انجام شوند. بدافزار SQLRat میتواند با ایجاد یک اتصال مستقیم SQL به پایگاه دادهی مایکروسافت تحت کنترل مهاجم، محتوای جداول مختلف را اجرا نماید. بهنظر میرسد که این اسکریپت یک نسخه از TinyMet باشد. محققان همچنین استفاده از TinyPS را کشف کردهاند.
به گفتهی محققان فلشپوینت، در یک پویش دیگر مهاجمان از همان پنل مدیریتی که درب پشتی DNSbot مبتنی بر جاوااسکریپت را ارائه میدهد، استفاده کردهاند که عمدتا بر روی ترافیک سیستم نام دامنه (DNS) عمل میکند، با این تفاوت که در این پویش مهاجمان میتوانند کانالهای رمزنگاریشدهای همچون پروتکل امن انتقال ابرمتن (HTTPS) یا پروتکل لایهی سوکتهای امن (SSL) را نیز مورد استفاده قرار دهند.