Microsoft เปิดเผยการค้นพบกลุ่ม Hacker ที่มีชื่อว่า FIN7 ปรากฎตัวอีกครั้งในเดือนเมษายน 2023 โดยพบความเชื่อมโยงกับการโจมตีที่ใช้เพย์โหลดของ Clop ransomware ในการโจมตีเครือข่ายเป้าหมาย หลักจากที่ไม่พบความเคลื่อนไหวมาเป็นเวลานานตั้งแต่ปลายปี 2021
FIN7 ถูกพบในปี 2013 เป็นกลุ่ม Hacker ที่มีแรงจูงใจทางการเงิน ซึ่งมุ่งเป้าหมายการโจมตีไปยังธนาคาร และอุปกรณ์ point-of-sale (PoS) ของบริษัทจากภาคอุตสาหกรรมต่าง ๆ ส่วนใหญ่เป็นร้านอาหาร คาสิโน และสถานพยาบาล ทั้งในยุโรป และสหรัฐอเมริกา โดยทาง FBI ยังพบการโจมตีด้วยการใช้อุปกรณ์ USB ที่เป็นอันตราย ซึ่งออกแบบมาเพื่อติดตั้งแรนซัมแวร์ ซึ่งเป็นหนึ่งในวิธีการโจมตี
โดยการโจมตีล่าสุดที่ค้นพบ พบว่า FIN7 ได้ใช้มัลแวร์ ‘POWERTRASH’ dropper ในหน่วยความจำ เพื่อเรียกใช้ Lizar post-exploitation tool บนอุปกรณ์เป้าหมาย ทำให้สามารถเข้าถึง และแพร่กระจายไปในเครือข่าย นอกจากนี้ยังใช้ OpenSSH และ Impacket ซึ่งเป็น Python toolkit ในการสั่งการจากระยะไกล และการโจมตีแบบ relay attack
Clop ransomware เป็น ransomware ที่ถูกพบเมื่อไม่นานมานี้ และเชื่อมโยงกับกลุ่ม REvil และ Maze ransomware รวมไปถึง BlackMatter และ DarkSide ransomware-as-a-service (Raas) ที่เลิกดำเนินการไปแล้ว
การจับกุมกลุ่ม FIN7
ในเดือนเมษายน 2022 Denys Iarmak ซึ่งเป็น pentester ของ FIN7 ถูกตัดสินจำคุก 5 ปีในข้อหาละเมิดเครือข่าย และการโจรกรรมบัตรเครดิตเป็นเวลาอย่างน้อยสองปี และ Andrii Kolpakov ซึ่งเป็น pentester ของ FIN7 อีกคน ได้รับโทษจำคุก 7 ปีในเดือนมิถุนายน 2021 รวมไปถึง Fedir Hladyr ผู้จัดการระดับสูง ได้รับโทษจำคุก 10 ปีในเดือนเมษายน 2021
แม้ว่าสมาชิก FIN7 บางส่วนจะถูกจับกุมในช่วงหลายปีที่ผ่านมา แต่กลุ่ม FIN7 ยังคงเคลื่อนไหวอยู่ และได้เริ่มพบการโจมตีอีกครั้งดังกล่าว
ที่มา : bleepingcomputer
You must be logged in to post a comment.