Bí mật về Backdoor Anubis: Mối đe dọa tinh vi từ nhóm tội phạm mạng FIN7

22/03/2025
2 mins read

Thông tin trong bài viết về Backdoor Anubis do nhóm tội phạm mạng tài chính nổi tiếng FIN7 phát triển. Dưới đây là những điểm chính:

  1. Backdoor Anubis:
    • Mô tả: Anubis Backdoor là một phần mềm độc hại dựa trên Python, được thiết kế để cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn đối với các máy tính bị nhiễm. Nó sử dụng các kỹ thuật né tránh nâng cao để qua mặt các biện pháp bảo mật truyền thống.
  2. Phương thức phát tán:
    • Phần mềm độc hại được phát tán thông qua các chiến dịch malspam, nơi mà nạn nhân bị lừa thực hiện các payload độc hại. Thêm vào đó, các kẻ tấn công đang tận dụng các phiên bản SharePoint bị xâm phạm để lưu trữ và phục vụ phần mềm độc hại, khiến cho việc phát hiện trở nên khó khăn hơn trong các môi trường doanh nghiệp.
  3. Kỹ thuật làm mờ:
    • Phần mềm độc hại sử dụng các kỹ thuật làm mờ nhiều lớp, bao gồm việc thay thế tên biến bằng các ký tự như “L” và “I”, khiến mã khó đọc hơn. Kỹ thuật này đủ mạnh để qua mặt nhiều công cụ bảo mật, mặc dù không mạnh mẽ đến mức độ loại bỏ hoàn toàn.
  4. Phương thức thực thi:
    • Điểm truy cập chính là một script Python khoảng 30 dòng, có mục đích chính là giải mã và thực thi payload thực sự. Hai phương thức thực thi khác nhau đã được quan sát: gọi trực tiếp hàm đã tải và ghi payload đã làm mờ vào một file trên ổ đĩa trước khi gọi nó.
  5. Giao tiếp với máy chủ C2:
    • Phần mềm độc hại giao tiếp với các máy chủ chỉ huy và kiểm soát (C2) qua các cổng HTTP (80/443) sử dụng mã hóa Base64 và thay thế bảng chữ cái tùy chỉnh. Các máy chủ C2 mặc định được liệt kê là 38.134.148.20 và 5.252.177.249, cùng với một mã định danh tác nhân được mã hóa cứng (AGENT_ID = ‘A19N’).
  6. Kết nối và Kiểm soát:
    • Phần mềm độc hại duy trì sự lặp lại thông qua Windows Registry, lưu cấu hình C2 của nó dưới “HKEY_CURRENT_USER\\Software\\FormidableHandlers” hoặc các tên khóa ngẫu nhiên tương tự. Nó hỗ trợ thực thi shell từ xa và nhiều hoạt động hệ thống, cho phép các tác nhân đe dọa nạp linh động các chức năng độc hại.
  7. Né tránh phát hiện:
    • Anubis Backdoor được thiết kế để né tránh phát hiện và vẫn hoàn toàn không bị phát hiện (FUD) bởi hầu hết các giải pháp antivirus tính đến thời điểm báo cáo. Tính lén lút này làm cho nó trở thành một mối đe dọa lớn đối với các tổ chức trên toàn cầu.
  8. Độ đa dạng trong phương thức thực thi:
    • Tính linh hoạt của phần mềm độc hại được thể hiện qua độ đa dạng trong phương thức thực thi, cho thấy sự phát triển và tinh chỉnh liên tục từ phía kẻ tấn công. Độ đa dạng trong các cơ chế phát tán làm cho việc đảm bảo an ninh rất khó khăn.

Tóm lại, Anubis Backdoor đại diện cho một bước tiến đáng kể trong các chiến thuật, kỹ thuật và quy trình (TTP) của FIN7, cung cấp cho họ khả năng truy cập từ xa linh hoạt hòa trộn với lưu lượng mạng hợp pháp, làm cho nó trở thành một công cụ mạnh mẽ cho các hoạt động tội phạm mạng.

Tags