Để làm được điều này, FIN7 quyết tâm tập trung vào các nhân viên trong bộ phận IT có thẩm quyền cao rồi sử dụng công cụ quét IP miễn phí làm chiêu trò lừa đảo và triển khai phần mềm độc hại Anunak. Qua đó, FIN7 có thể phân phối mã độc đến các thiết bị bằng cách sử dụng các tệp thực thi, tập lệnh và thư viện được chuẩn bị trước.
Đội ngũ FIN7 còn được biết đến với những cái tên như Carbon Spider, Elbrus, Gold Niagara, ITG14 và Sangria Tempest. Từ năm 2012, nhóm này liên tục tấn công với động cơ tài chính vào nhiều lĩnh vực, ngành nghề khác nhau, đặc biệt là hệ thống thanh toán PoS nhằm phát tán phần mềm độc hại và đánh cắp dữ liệu.
Trong những năm gần đây, nhóm mục tiêu đã chuyển sang các chiến dịch tấn công bằng ransomware để lây nhiễm Black Basta, Cl0p, DarkSide và REvil. Hai thành viên người Ukraine của nhóm hiện đã bị kết án ở Mỹ.
Một chiến dịch mới được phát hiện vào cuối năm 2023, bắt đầu bằng một email lừa đảo có chứa liên kết độc hại mạo danh trang web của một công cụ quét IP tiên tiến. Liên kết này hướng người dùng đến thư mục Dropbox do nhóm tấn công quản lý, với mục tiêu lừa họ tải xuống tệp thực thi độc hại có tên WsTaskLoad.exe.
Tệp này tiếp tục thực hiện một loạt các bước để triển khai phần mềm độc hại Carbanak. Hơn nữa, tệp cũng được thiết kế để tải xuống các tải trọng khác như POWERTRASH và thiết lập OpenSSH để duy trì kết nối từ xa.
Hiện vẫn chưa rõ liệu chiến dịch này có sử dụng ransomware hay không vì các hệ thống bị ảnh hưởng đã được phát hiện và loại bỏ kịp thời. Mặc dù chỉ một phần hạn chế của ngành công nghiệp ô tô Hoa Kỳ bị ảnh hưởng nhưng các cơ quan an ninh đã xác định được một số tên miền độc hại tương tự như các tên miền trong chiến dịch này. Đây là dấu hiệu cho thấy nhóm APT FIN7 có thể đang chuẩn bị một chiến dịch quy mô lớn hơn.
Link nguồn: https://cafef.vn/nhom-tan-cong-fin7-su-dung-ma-doc-backdoor-tan-cong-nganh-cong-nghiep-o-to-tai-my-188240428133349444.chn