El actor de amenaza de motivación financiera conocido como FIN7 se ha vinculado a una puerta trasera con sede en Python llamada Anubis (que no debe confundirse con un troyano de banca Android del mismo nombre) que puede otorgarles acceso remoto a los sistemas de Windows comprometidos.
“Este malware permite a los atacantes ejecutar comandos de shell remotos y otras operaciones del sistema, dándoles un control total sobre una máquina infectada”, la compañía de seguridad cibernética suiza ProductAft dicho En un informe técnico del malware.
Fin7, también llamado Carbon Spider, Elbrus, Gold Niagara, Sangria Tempest y Savage Ladybug, es un grupo de delito cibernético ruso conocido por su en constante evolución y en expansión Conjunto de familias de malware para obtener acceso inicial y exfiltración de datos. En los últimos años, se dice que el actor de amenazas hizo la transición a un afiliado de ransomware.
En julio de 2024, se observó el grupo utilizando varios alias en línea para anunciar una herramienta llamada Aukill (también conocida como Avneutralizer) que es capaz de terminar las herramientas de seguridad en un probable intento de diversificar su estrategia de monetización.
Se cree que Anubis se propaga a través de campañas de Malspam que generalmente atraen a las víctimas a ejecutar la carga útil alojada en sitios de SharePoint comprometidos.
Entregado en forma de un archivo ZIP, el punto de entrada de la infección es un script de Python diseñado para descifrar y ejecutar la carga útil principal ofuscada directamente en la memoria. Una vez lanzado, la puerta trasera establece comunicaciones con un servidor remoto a través de un socket TCP en formato codificado Base64.
Las respuestas del servidor, también codificadas en Base64, le permiten recopilar la dirección IP del host, cargar/descargar archivos, cambiar el directorio de trabajo actual, obtener variables de entorno, alterar el registro de Windows, cargar archivos DLL en memoria utilizando pythonmemorymodule y terminarse.
En un análisis independiente de ANUBIS, la compañía de seguridad alemana GDATA dicho La puerta trasera también admite la capacidad de ejecutar respuestas proporcionadas por el operador como un comando shell en el sistema de víctimas.
“Esto permite a los atacantes realizar acciones como el keylogging, tomar capturas de pantalla o robar contraseñas sin almacenar directamente estas capacidades en el sistema infectado”, dijo ProDaft. “Al mantener la puerta trasera lo más liviana posible, reducen el riesgo de detección mientras mantienen flexibilidad para ejecutar nuevas actividades maliciosas”.
About the Author
