DiceLoader
A Sekoia.io elemzése részletesen ismerteti a FIN7 által 2021 óta használt, DiceLoader (vagy Icebot) nevű kártevő működését, és a kapcsolódó technikák és eljárások részletezésével átfogó megközelítést nyújtson a fenyegetésről.
A FIN7 egy legalább 2015 óta működődik és a csoportról ismert, hogy oroszul beszélő tagokból álló szervezet. A FIN7 illegális tevékenységét fedőcégek mögé rejti, amelyek szintén olyan informatikai szakértők toborzására szolgálnak, akik nincsenek tisztában azzal, hogy milyen rosszindulatú tevékenységekben vesznek részt.
A behatolási készlet különböző tevékenységi szektorokat (pl. kiskereskedelem, vendéglátás, vendéglátóipar) céloz meg különböző földrajzi területeken, például az Egyesült Államokban, az Egyesült Királyságban, Ausztráliában és Franciaországban.
A FIN7 tagjai a jelentések szerint más kiberbűnözői szervezetekhez, például a REvil, a Lockbit, a Darkside és a BlackBasta szervezethez is kapcsolódnak.
A csoport arzenáljába különösen olyan rosszindulatú szoftverek tartoznak, mint a loader-ek, zsarolóprogramok vagy backdoorok, amelyek nagy része egyedi kártevő (pl. Carbanak Backdoor, Domino Loader, Domino Backdoor, DiceLoader stb.).
A DiceLoader úgy tűnik, hogy szintén a FIN7-hez tartozó eszköz, amelyet régóta használnak a kampányaikban. A FIN7 kontextusában megfigyelték, hogy a kártevőt egy PowerShell szkript juttatja el az áldozatokhoz, amely a FIN7 specifikus obfuszkációt használ a Carbanak nevű arzenáljuk más kártevőivel együtt.
2022 eleje óta a Sekoia.io elemzői proaktívan nyomon követték azt a C2 infrastruktúrát, amelyről nagy biztonsággal felmértük, hogy a DiceLoader rosszindulatú programhoz kapcsolódik. Az infrastruktúrát folyamatosan karbantartották, átlagosan több mint 20 aktív szerverrel, és körülbelül 50 aktív szerverrel 2023 januárjában.