حمله به سیستم‌عامل 64 بیتی ویندوز با اضافه‌کردن ابزار جدید هک BIOLOAD برای فرار از شناسایی شدن به‌وسیله AV Detection توسط هکرهای FIN7

حمله به سیستم‌عامل 64 بیتی ویندوز با اضافه‌کردن ابزار جدید هک BIOLOAD برای فرار از شناسایی شدن به‌وسیله AV Detection توسط هکرهای FIN7

تاریخ ایجاد

حققان، ابزاری جدید منتسب به گروه هکرهای FIN7 را با نام #BIOLOAD که با هدف به حداقل رساندن ردپای موجود در دستگاه قربانی و جلوگیری از مورد شناسایی قرار گرفتن ایجاد شده است را شناسایی کرده‌اند. این ابزار جدید شباهت‌هایی با ابزار BOOSTWRITE FIN7 دارد که از دستور جستجوی DLL برای اجرای برنامه سوء‌استفاده می‌کند. BOOSTWRITE از"Dwrite.dll” ارائه شده توسط سرویس تایپوگرافی DirectX مایکروسافت، سوء‌استفاده می‌کند.
ابزار جدید FIN7
ابزار BIOLOAD نسخه جدیدی از ابزار BOOSTWRITE با پایه کد یکسان هستند و Carbanak backdoor را ایجاد می‌کنند. هر دو ابزار با بکارگیری DLL های مورد نیاز در بارگیری یک برنامه از سیستم‌عامل ویندوز سوء‌استفاده می‌کنند. مهاجمین با قرار دادن نسخه‌ جعلی WinBio.dll (حاوی حروف بزرگ) در همان پوشه FaceFodUninstaller با آدرس “%WINDR%\System32\WinBioPlugIns” در دستگاه قربانی و داشتن دسترسی ادمین یا یک حساب کاربری سیستم این کار را میسر می‌سازند، سایت Fortinetنیز مطلبی را در این خصوص پست کرده است.
 

windows

ابزارBIOLOAD با زبان C++ نوشته شده و در مارس و ژوئیه سال 2019 کامپایل شده است و به طور خاص دستگاه‌هایی با سیستم عامل 64 بیتی را هدف قرار می‌دهد. این ابزار دارای یک پیلود رمزگذاری شده مانند BOOSTWRITE است که برای رمزگشایی از الگوریتم XOR یا fetches استفاده می‌کند که مانند BOOSTWRITE، تنها از یک پیلود پشتیبانی می‌کند.

محققان خاطرنشان كردند كه با backdoor ایجاد شده ابزار سیستم را چک می‌کند که آیا علاوه بر Kaspersky، AVG وTrendMicro ، انتي ويروس دیگری نیز روی اين دستگاه اجرا شده است یا خیر. با این حال، نتیجه بر خلاف AV های قبلی که شناسایی شده‌اند، تأثیرگذاری بر روی backdoor ندارد.
به نظر می‌رسد گروه هکر FIN7 از اواسط سال 2015 فعال است، این گروه همچنان ابزارهای جدیدی را به منظور دور زدن و شکست راه حل‌های امنیتی توسعه می‌دهند.

هر دو ابزار BIOLOAD و نسخه‌ جدید Carbanak توسط بیشتر موتورهای AV کشف نشده‌اند، در پایین نتایج حاصل از پویش سامانه Virus total نشان داده شده است.

IOCs

WinBio.dll (scrubbed key and payload) SHA256
7bdae0dfc37cb5561a89a0b337b180ac6a139250bd5247292f470830bd96dda7
c1c68454e82d79e75fefad33e5acbb496bbc3f5056dfa26aaf1f142cee1af372

Carbanak SHA256
77a6fbd4799a8468004f49f5929352336f131ad83c92484b052a2eb120ebaf9a
42d3cf75497a724e9a9323855e0051971816915fc7eb9f0426b5a23115a3bdcb

برچسب‌ها