02 avril 2025Ravie LakshmananRansomware / Sécurité des e-mails

L’acteur de menace financièrement motivé connu sous le nom de FIN7 a été lié à une porte dérobée basée à Python appelée Anubis (à ne pas confondre avec un chevalier bancaire Android du même nom) qui peut leur accorder un accès à distance à des systèmes Windows compromis.

“Ce logiciel malveillant permet aux attaquants d’exécuter des commandes de shell distant et d’autres opérations système, ce qui leur donne un contrôle total sur une machine infectée”, a déclaré la société de cybersécurité suisse dit Dans un rapport technique du malware.

Cybersécurité

Fin7, également appelé Carbon Spider, Elbrus, Gold Niagara, Sangria Tempest et Savage Ladybug, est un groupe de cybercriminalité russe connu pour son en constante évolution et expansion Ensemble de familles de logiciels malveillants pour obtenir l’accès initial et l’exfiltration des données. Ces dernières années, l’acteur de menace aurait passé à un affilié des ransomwares.

En juillet 2024, le groupe a été observé à l’aide de divers alias en ligne pour annoncer un outil appelé Aukill (aka avneutralizer) capable de mettre fin aux outils de sécurité dans une tentative probable de diversifier sa stratégie de monétisation.

Anubis serait propagé via des campagnes de Malspam qui incitent généralement les victimes à exécuter la charge utile hébergée sur des sites SharePoint compromis.

Livré sous la forme d’une archive zip, le point d’entrée de l’infection est un script Python conçu pour décrypter et exécuter la charge utile obscurci principale directement en mémoire. Une fois lancé, la porte dérobée établit des communications avec un serveur distant via une prise TCP au format codé Base64.

Les réponses du serveur, également codées en base64, lui permettent de rassembler l’adresse IP de l’hôte, de télécharger / télécharger des fichiers, de modifier le répertoire de travail actuel, de saisir des variables d’environnement, d’altérer le registre Windows, de charger les fichiers DLL en mémoire à l’aide de PythonMemoryModule et de se terminer.

Cybersécurité

Dans une analyse indépendante d’Anubis, la société de sécurité allemande GDATA dit La porte dérobée prend également en charge la possibilité d’exécuter des réponses fournies par l’opérateur en tant que commande shell sur le système victime.

“Cela permet aux attaquants d’effectuer des actions telles que le keylogging, la prise de captures d’écran ou le vol de mots de passe sans stocker directement ces capacités sur le système infecté”, a déclaré Prodaft. “En gardant la porte dérobée aussi légère que possible, ils réduisent le risque de détection tout en maintenant la flexibilité pour exécuter d’autres activités malveillantes.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57