{"id":1242578,"date":"2024-07-17T14:10:58","date_gmt":"2024-07-17T16:10:58","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-fin7-fait-la-promotion-dun-outil-de-contournement-de-securite-sur-les-forums-du-dark-web\/"},"modified":"2024-07-17T14:11:03","modified_gmt":"2024-07-17T16:11:03","slug":"le-groupe-fin7-fait-la-promotion-dun-outil-de-contournement-de-securite-sur-les-forums-du-dark-web","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-fin7-fait-la-promotion-dun-outil-de-contournement-de-securite-sur-les-forums-du-dark-web\/","title":{"rendered":"Le groupe FIN7 fait la promotion d&#8217;un outil de contournement de s\u00e9curit\u00e9 sur les forums du Dark Web"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Le-groupe-FIN7-fait-la-promotion-dun-outil-de-contournement.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur de la menace motiv\u00e9e par des raisons financi\u00e8res connu sous le nom de FIN7 a \u00e9t\u00e9 observ\u00e9 en utilisant plusieurs pseudonymes sur plusieurs forums clandestins pour probablement faire la publicit\u00e9 d&#8217;un outil connu pour \u00eatre utilis\u00e9 par des groupes de ransomware comme Black Basta.<\/p>\n<p>\u00ab AvNeutralizer (alias AuKill), un outil hautement sp\u00e9cialis\u00e9 d\u00e9velopp\u00e9 par FIN7 pour alt\u00e9rer les solutions de s\u00e9curit\u00e9, a \u00e9t\u00e9 commercialis\u00e9 dans le milieu criminel et utilis\u00e9 par de nombreux groupes de ransomware \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SentinelOne <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/fin7-reboot-cybercrime-gang-enhances-ops-with-new-edr-bypasses-and-automated-attacks\/\" target=\"_blank\">dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>FIN7, un groupe de cybercriminalit\u00e9 d&#8217;origine russe et ukrainienne, constitue une menace persistante depuis au moins 2012, passant d&#8217;un ciblage initial des terminaux de point de vente (PoS) \u00e0 une activit\u00e9 d&#8217;affili\u00e9 de ransomware pour des gangs aujourd&#8217;hui disparus tels que REvil et Conti, avant de lancer ses propres programmes de ransomware en tant que service (RaaS) DarkSide et BlackMatter.<\/p>\n<p>L&#8217;acteur de la menace, qui est \u00e9galement suivi sous les noms de Carbanak, Carbon Spider, Gold Niagara et Sangria Tempest (anciennement Elbrus), a pour habitude de cr\u00e9er des soci\u00e9t\u00e9s \u00e9crans comme Combi Security et Bastion Secure pour recruter des ing\u00e9nieurs logiciels involontaires dans des projets de ransomware sous pr\u00e9texte de tests de p\u00e9n\u00e9tration.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Au fil des ann\u00e9es, FIN7 a d\u00e9montr\u00e9 un haut niveau d&#8217;adaptabilit\u00e9, de sophistication et d&#8217;expertise technique en r\u00e9organisant son arsenal de logiciels malveillants &#8211; POWERTRASH, DICELOADER (alias IceBot, Lizar ou Tirion) et un outil de test de p\u00e9n\u00e9tration appel\u00e9 Core Impact qui est fourni via le chargeur POWERTRASH &#8211; malgr\u00e9 les arrestations et les condamnations de <a rel=\"nofollow noopener\" href=\"https:\/\/www.justice.gov\/usao-wdwa\/united-states-vs-fedir-oleksiyovych-hladyr-united-states-vs-dmytro-valerievich-fedorov\" target=\"_blank\">certains de ses membres<\/a>.<\/p>\n<p>Ceci est d\u00e9montr\u00e9 par les campagnes de phishing \u00e0 grande \u00e9chelle entreprises par le groupe pour diffuser des ransomwares et d&#8217;autres familles de logiciels malveillants en d\u00e9ployant des milliers de domaines \u00ab shell \u00bb qui imitent des entreprises de m\u00e9dias et de technologie l\u00e9gitimes, selon un r\u00e9cent rapport de Silent Push.<\/p>\n<p>Alternativement, ces domaines shell ont \u00e9t\u00e9 occasionnellement utilis\u00e9s dans une cha\u00eene de redirection conventionnelle pour envoyer les utilisateurs vers des pages de connexion falsifi\u00e9es qui se font passer pour des portails de gestion immobili\u00e8re.<\/p>\n<p>Ces versions de typosquat sont annonc\u00e9es sur des moteurs de recherche comme Google, incitant les utilisateurs \u00e0 la recherche de logiciels populaires \u00e0 t\u00e9l\u00e9charger une variante contenant des logiciels malveillants. Parmi les outils cibl\u00e9s figurent 7-Zip, PuTTY, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text et Node.js.<\/p>\n<p>Il convient de noter que l&#8217;utilisation de tactiques de malvertising par FIN7 a d\u00e9j\u00e0 \u00e9t\u00e9 mise en \u00e9vidence par eSentire et Malwarebytes en mai 2024, les cha\u00eenes d&#8217;attaque ayant conduit au d\u00e9ploiement de NetSupport RAT.<\/p>\n<p>&#8220;FIN7 loue une grande quantit\u00e9 d&#8217;adresses IP d\u00e9di\u00e9es sur un certain nombre d&#8217;h\u00f4tes, mais principalement sur <a rel=\"nofollow noopener\" href=\"https:\/\/krebsonsecurity.com\/2024\/05\/stark-industries-solutions-an-iron-hammer-in-the-cloud\/\" target=\"_blank\">Stark industries<\/a>un fournisseur d&#8217;h\u00e9bergement populaire \u00e0 l&#8217;\u00e9preuve des balles qui a \u00e9t\u00e9 li\u00e9 \u00e0 des attaques DDoS en Ukraine et \u00e0 travers l&#8217;Europe, &#8220;Silent Push <a rel=\"nofollow noopener\" href=\"https:\/\/www.silentpush.com\/blog\/fin7\/\" target=\"_blank\">not\u00e9<\/a>.<\/p>\n<p>Les derni\u00e8res d\u00e9couvertes de SentinelOne montrent que FIN7 a non seulement utilis\u00e9 plusieurs personnages sur les forums de cybercriminalit\u00e9 pour promouvoir la vente d&#8217;AvNeutralizer, mais a \u00e9galement improvis\u00e9 l&#8217;outil avec de nouvelles capacit\u00e9s.<\/p>\n<p>Cela est bas\u00e9 sur le fait que plusieurs groupes de ransomware ont commenc\u00e9 \u00e0 utiliser des versions mises \u00e0 jour du programme de d\u00e9gradation EDR \u00e0 partir de janvier 2023, qui \u00e9tait jusque-l\u00e0 exclusivement utilis\u00e9 par le groupe Black Basta.<\/p>\n<p>Antonio Cocomazzi, chercheur chez SentinelLabs, a d\u00e9clar\u00e9 \u00e0 The Hacker News que la publicit\u00e9 d&#8217;AvNeutralizer sur des forums clandestins ne devrait pas \u00eatre consid\u00e9r\u00e9e comme une nouvelle tactique de malware-as-a-service (MaaS) adopt\u00e9e par FIN7 sans preuve suppl\u00e9mentaire.<\/p>\n<p>\u00ab FIN7 a l&#8217;habitude de d\u00e9velopper et d&#8217;utiliser des outils sophistiqu\u00e9s pour ses propres op\u00e9rations \u00bb, a d\u00e9clar\u00e9 Cocomazzi. \u00ab Cependant, vendre des outils \u00e0 d&#8217;autres cybercriminels pourrait \u00eatre consid\u00e9r\u00e9 comme une \u00e9volution naturelle de leurs m\u00e9thodes pour se diversifier et g\u00e9n\u00e9rer des revenus suppl\u00e9mentaires. \u00bb<\/p>\n<p>\u00ab Historiquement, FIN7 a utilis\u00e9 des march\u00e9s clandestins pour g\u00e9n\u00e9rer des revenus. Par exemple, le DoJ <a rel=\"nofollow noopener\" href=\"https:\/\/www.justice.gov\/opa\/pr\/three-members-notorious-international-cybercrime-group-fin7-custody-role-attacking-over-100\" target=\"_blank\">signal\u00e9<\/a> \u00ab Depuis 2015, FIN7 a r\u00e9ussi \u00e0 voler les donn\u00e9es de plus de 16 millions de cartes de paiement, dont beaucoup ont \u00e9t\u00e9 vendues sur des march\u00e9s clandestins. Bien que cela \u00e9tait plus courant \u00e0 l&#8217;\u00e9poque pr\u00e9-ransomware, la publicit\u00e9 actuelle d&#8217;AvNeutralizer pourrait signaler un changement ou une expansion de leur strat\u00e9gie. \u00bb<\/p>\n<p>\u00ab Cela pourrait \u00eatre motiv\u00e9 par les protections croissantes fournies par les solutions EDR actuelles par rapport aux syst\u00e8mes AV pr\u00e9c\u00e9dents. \u00c0 mesure que ces d\u00e9fenses se sont am\u00e9lior\u00e9es, la demande d&#8217;outils de d\u00e9gradation comme AvNeutralizer a consid\u00e9rablement augment\u00e9, en particulier parmi les op\u00e9rateurs de ransomware. Les attaquants sont d\u00e9sormais confront\u00e9s \u00e0 des d\u00e9fis plus difficiles pour contourner ces protections, ce qui rend ces outils tr\u00e8s pr\u00e9cieux et co\u00fbteux. \u00bb<\/p>\n<p>De son c\u00f4t\u00e9, la version mise \u00e0 jour d&#8217;AvNeutralizer utilise des techniques d&#8217;anti-analyse et, surtout, exploite un pilote int\u00e9gr\u00e9 \u00e0 Windows appel\u00e9 &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/deep-dive-into-the-ttd-ecosystem\" target=\"_blank\">ProcLaunchMon.sys<\/a>&#8221; en conjonction avec le <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/downloads\/process-explorer\" target=\"_blank\">Explorateur de processus<\/a> Le pilote peut alt\u00e9rer le fonctionnement des solutions de s\u00e9curit\u00e9 et \u00e9chapper \u00e0 la d\u00e9tection. L&#8217;outil serait en cours de d\u00e9veloppement actif depuis avril 2022.<\/p>\n<p>Une version similaire de cette approche a \u00e9galement \u00e9t\u00e9 utilis\u00e9e par le groupe Lazarus, la rendant encore plus dangereuse car elle va au-del\u00e0 d&#8217;une attaque traditionnelle Bring Your Own Vulnerable Driver (BYOVD) en militarisant un pilote sensible d\u00e9j\u00e0 pr\u00e9sent par d\u00e9faut sur les machines Windows.<\/p>\n<p>Une autre mise \u00e0 jour notable concerne la plateforme Checkmarks de FIN7, qui a \u00e9t\u00e9 modifi\u00e9e pour inclure un module d&#8217;attaque par injection SQL automatis\u00e9 pour exploiter les applications publiques.<\/p>\n<p>\u00ab Dans ses campagnes, FIN7 a adopt\u00e9 des m\u00e9thodes d&#8217;attaque automatis\u00e9es, ciblant les serveurs publics par le biais d&#8217;attaques par injection SQL automatis\u00e9es \u00bb, a d\u00e9clar\u00e9 SentinelOne. \u00ab De plus, le d\u00e9veloppement et la commercialisation d&#8217;outils sp\u00e9cialis\u00e9s comme AvNeutralizer au sein de forums criminels clandestins renforcent consid\u00e9rablement l&#8217;impact du groupe. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/fin7-group-advertises-security.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur de la menace motiv\u00e9e par des raisons financi\u00e8res connu sous le nom de FIN7 a \u00e9t\u00e9 observ\u00e9 en utilisant plusieurs pseudonymes sur plusieurs forums clandestins pour probablement faire la publicit\u00e9 d&#8217;un outil connu pour \u00eatre utilis\u00e9 par des groupes de ransomware comme Black Basta. \u00ab AvNeutralizer (alias AuKill), un outil hautement sp\u00e9cialis\u00e9 d\u00e9velopp\u00e9 par [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1242579,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,4168,20618,4165,6503,74,369,43570,42657,681,65,238584,200271,238334,98340,5527,8048,1835,238617,4172,4169,60,4166,238583,2784],"class_list":["post-1242578","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-contournement","tag-cyber-attaques","tag-dark","tag-dun","tag-fait","tag-fin7","tag-forums","tag-groupe","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-outil","tag-promotion","tag-securite","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-sur","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1242578","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1242578"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1242578\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1242579"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1242578"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1242578"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1242578"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}