本文旨在为读者提供有关PRODAFT(瑞士)&INVICTUS(欧洲)威胁情报(PTI)团队针对不同威胁参与者的最新操作的详细信息,并
发现与臭名昭著的Fin7 APT组织相关。在文章中,所有信息都源自威胁参与者的一次OPSEC故障,我们将尝试逐步扩展主题,在不断发
在2020年5月至7月之间,PRODAFT威胁情报团队的四名成员进行了BlueRaven行动。案例研究源于发现一组看似不重要的轻微OpSec故
障。当然,后来发现这些威胁因素与臭名昭著的Fin7 / Carbanak威胁因素有关联。
PTI的OP(PTI’s OP)源于攻击者一方的OPSEC故障。与先前发现和发布的数据不同,使此OP如此与众不同的是,我们设法发现了大量
有关攻击者工具集的未发布信息,这些信息揭示了攻击者的TTP。
Carbanak Group / Fin7于2014年首次被发现,是世界上最著名的APT组之一,并且是最早曝光的APT组之一。该组织被认为在全球范围
内造成超过9亿美元的损失。我们的OP结果发现了有关这些威胁参与者的以下关键信息:
Fin7和REvil勒索软件组(将在后面的阶段中详细介绍)之间的关系已经被发现
撰写此报告旨在提高认识并协助网络安全专家进行分析。当然,PRODAFT的一些发现已被删除。因此,授权机构可以与PRODAFT或
每篇文章都将讨论操作的特定方面,不仅仅包括攻击方法、组织和攻击者的身份。我们的团队还设法窃听攻击者之间的各种对话,这些对
Carbanak Backdoor是我们小组获得的第一批发现之一。当前版本的Carbanak后门程序(该团队中最知名的工具,即Carbanak组的名
根据PE文件标题在2019年11月编译的“3.7.5”版本是后门命令和控制服务器最新检测到的版本。
下面的屏幕快照提供了“3.7.5”版Carbanak后门管理面板的屏幕截图。
我们将获得的最新版本与2017年Virustotal中的“命令管理器”版本进行了比较,并对此工具进行了评估。下图反映了上述两个版本反编译获
得的源代码之间的差异。图中仅列出了两个版本之间的源代码,左列属于2017年上传到Virustotal的文件,右列属于我们团队获得的
“3.7.5”版本。蓝线表示不同的文件,而绿线表示新文件。
第4页 共16页
评论0
最新资源