- Tháng 04/2023, các nhà nghiên cứu đã phát hiện ra nhóm tấn công APT Sangria Tempest (ELBRUS, FIN7) bắt đầu hoạt động trở lại kể từ sau chiến dịch tấn công ransomware bắt đầu từ cuối năm 2021 và nhóm tấn công APT FIN7 đã triển khai ransomware Cl0p (hay còn được gọi là Clop) trong cuộc tấn công gần đây.

Các đối tượng sử dụng tập lệnh PowerShell POWERTRASH và tải xuống backdoor Lizar trên các thiết bị bị xâm nhập. Điều này cho phép đối tượng tấn công chiếm quyền truy cập trong hệ thống mục tiêu, sử dụng OpenSSH và Impacket để triển khai ransomware Clop.

Hoạt động kể từ năm 2012, FIN7 (hay còn được biết đến với tên gọi Carbanak, ELBRUS và ITG14) đã sử dụng các dòng ransomware khác như Black Basta, DarkSide, REvil và LockBit, Maze và Ryuk. Nhóm tấn công APT FIN7 nhằm mục tiêu vào các tổ chức bao gồm công ty phần mềm, truyền thông, dịch vụ đám mây, y tế, giao thông vân tải.

Ngoài ra, chiến thuật tấn công được sử dụng trong playbook của FIN7 là thành lập các công ty bảo mật giả mạo Combi Security và Bastion Secure để tuyển nhân viên thực hiện các cuộc tấn công ransomware.

Theo các nhà nghiên cứu, việc FIN7 sử dụng mã độc POWERTRASH để cung cấp backdoor Lizar (hay còn được biết đến với tên gọi DICELOADER hoặc Tirion) liên quan đến các cuộc tấn công khai thác lỗ hổng bảo mật CVE2023-27532 (điểm CVSS: 7.5) có mức ảnh hưởng

Cao trong phần mềm Veeam Backup & Replication cho phép đối tượng tấn công giành quyền truy cập và thực hiện các hành động trái phép.

Các cuộc tấn công mới của FIN7 sử dụng nhiều ransomware khác nhau nhằm thay đổi chiến lược tống tiền, chuyển từ đánh cắp dữ liệu thẻ tín dụng sang tấn công tống tiền người dùng. Các cá nhân, tổ chức cần thường xuyên thực hiện kiểm tra, rà soát và cập nhật các bản vá để phòng chống, giảm thiểu các nguy cơ bị tấn công mạng.

PV