FIN7’s Liquor Lure kompromittiert Anwaltskanzlei mit Backdoor

  • Mit einem Köder, der sich auf einen Rechtsstreit gegen den Eigentümer von Jack Daniels Whiskey bezog, startete die Cybergang eine Kampagne, die möglicherweise auf den Einsatz von Ransomware abzielt.

    Die Finanz-Cybercrime-Gang FIN7 hat sich nach der Inhaftierung einiger wichtiger Mitglieder zurückgemeldet und eine Kampagne gestartet, die als Köder eine Klage gegen die Spirituosenfirma verwendet, die Eigentümer von Jack Daniels Whiskey ist. Mit diesem Schachzug konnte mindestens eine Anwaltskanzlei erfolgreich kompromittiert werden, indem sie mit dem Remote-Access-Trojaner (RAT) JSSLoader infiziert wurde, so die Forscher.

    Laut der Threat Response Unit (TRU) von eSentire war der erfolgreiche Einbruch bei FIN7 (auch bekannt als Carbanak Group oder Navigator Group) Teil einer größeren, nicht zielgerichteten E-Mail-Kampagne. Sie bezieht sich angeblich auf eine Rechtsbeschwerde, die sich um den Spirituosenriesen Brown-Forman dreht.

    “Eines der Opfer der böswilligen Rechtsbeschwerde-Kampagne war eine Anwaltskanzlei”, so die Forscher in einem Posting diese Woche. “Der Köder umging erfolgreich die E-Mail-Filter der Anwaltskanzlei und wurde von keinem der Mitarbeiter der Kanzlei als verdächtig erkannt.”

    Der letztendliche Zweck der Installation der Backdoor ist unklar. FIN7 führt in der Regel gezielte Angriffe auf Kassensysteme in Restaurants, Casinos und Hotels durch oder infiltriert Systeme, um Bankkartendaten zu stehlen und zu verkaufen. Seit 2020 werden auch Ransomware-/Datenexfiltrations-Angriffe durchgeführt, wobei die Ziele mit Hilfe des ZoomInfo-Dienstes sorgfältig nach dem Umsatz ausgewählt werden.

    “Es ist plausibel, dass versierte Finanz-Cybercrime-Gruppen wie FIN7 erfahrenen Ransomware-Gruppen wie REvil (alias Sodinokibi), Ryuk usw. einen ersten Zugang verschaffen, um ihren Zugang zu monetarisieren”, so TRU.

    Gerissene E-Mail-Köder

    Die Klagekampagne war darauf ausgerichtet, einen gewissen Zeitgeist auszunutzen, so die Analyse. Die Nachrichten wurden in der ersten Juniwoche verschickt, nur einen Monat bevor Vergleichsforderungen für eine echte Sammelklage gegen Brown-Forman bezüglich eines Ransomware-Einbruchs, den das Unternehmen im letzten August erlitt, fällig wurden.

    “Die berüchtigte REvil-Gang nahm Kredit für die Ransomware-Attacke”, nach TRU. “Obwohl das Unternehmen sagte, dass sie in der Lage waren, den Angriff zu unterbrechen, bevor ihre Daten verschlüsselt werden konnten, verbreitete die REvil-Gang auf ihrem Blog/ihrer Leak-Site, dass sie über einen Monat lang Zugang zu den Systemen von Brown-Forman hatte und ein Terabyte ihrer Unternehmensdaten stahl.”

    Obwohl die Verwendung einer solchen spezifischen Köder-Klage in einer breit angelegten Kampagne kontraintuitiv erscheinen mag, kann sie lukrative Fische fangen, so die Forscher.

    “Unternehmen könnten sofort eine zufällige Rechtsbeschwerde vermuten, die per E-Mail von einer großen Spirituosen- und Weinfirma eintrifft”, schrieben sie. “Anwaltskanzleien befassen sich jedoch regelmäßig mit Rechtsbeschwerden aus verschiedenen Branchen, so dass der Inhalt nicht als ungewöhnlich angesehen werden würde. Daher sind Anwaltskanzleien möglicherweise anfälliger für dieses Thema.”

    Dies ist nicht die einzige Aktivität von FIN7 in letzter Zeit; die Forscher haben auch eine Kampagne beobachtet, die eine USPS-Postzustellungsbenachrichtigung als Köder verwendete, sowie eine Kampagne, die mit Windows 11 thematisiert wurde und die JSSLoader-Malware lieferte.

    “Unabhängig von den spezifischen Absichten von FIN7 scheinen sie ihre Köder aktiv anzupassen, um den Erfolg ihrer Kampagnen zu maximieren”, so die TRU-Forscher. “Cyberkriminelle verwenden gut getimte Köder und versuchen, die Anfälligkeit eines Themas für ihre Bedrohungskampagnen vorherzusehen, und sie werden Köder verwenden, die um soziale Trends, globale Krisen und Routineereignisse herum aufgebaut sind.”

    Robuste Infrastruktur für Cyberkriminelle

    Trotz der Inhaftierungssorgen der Gruppe scheint die Infrastruktur von FIN7 robust zu sein, so die Forscher, mit einem Netzwerk von Servern, die bereitstehen:

    • Der primäre Download-Server: browm-forman[.]com
    • Zwischenserver, die Nutzdaten der ersten Stufe hosten: opposedent[.]com, jurisdictionious[.]com, halblustig[.]com, taubenhaft[.]com
    • Opferüberprüfung: fairedale[.]com (“In Anbetracht seiner Position bei der Umleitung und der JavaScript-Verwaltung könnte seine Rolle darin bestehen, zu testen, ob ein besuchender Computer ein anfälliges Opfer ist (und nicht beispielsweise ein Sicherheitsforscher), bevor er den Benutzer zur bösartigen Nutzlast umleitet”)
    • Befehls- und Kontrolldomänen (C2s) für die erste Nutzlast: unitious[.]com, injuryless[.]com, entbehrungsreich[.]com, gerichtsverwertbar[.]com, rechtsprechungsient[.]com

    TRU beobachtete kürzlich die Registrierung einer neuen Lookalike-Domain innerhalb dieses Netzes der Infrastruktur, brown-formam[.]com, am 9. Juni.

    “Während die Nutzung in freier Wildbahn nicht beobachtet wurde, stimmen die Registrierungs- und TLS-Zertifikatsmuster mit der vorherigen Landing Page überein”, so die Forscher. “Wir gehen davon aus, dass diese Domain die vorherige ersetzen wird, da sie öffentlich zugänglich ist.

    Was den Brown-Forman-Fall betrifft, so registrierten die FIN7-Bedrohungsakteure die Infrastruktur Monate, bevor die TRU sie in Aktion sah.

    “Entweder haben die Angreifer die Infrastruktur monatelang genutzt, bevor eSentire die Aktivität sah, oder sie haben sie nach einer gewissen Zeit als Waffe eingesetzt, um die E-Mail-Filterung durch neu registrierte Domains zu umgehen. Wenn das der Fall ist, zeigt dies ein gewisses Maß an Planung und Raffinesse auf Seiten von FIN7.”

    Schauen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com