GrayAlpha eszközei
A Recorded Future Insikt Group elemzése szerint a GrayAlpha csoport – amely az ismert, pénzügyileg motivált FIN7 hálózathoz kapcsolódik – sokrétű, fejlett fertőzési módszereket alkalmazott a PowerNet PowerShell loader és a NetSupport RAT terjesztésére. Az elemzés feltárta, hogy a támadók legalább két egyedi betöltő modult fejlesztettek ki, a PowerNetet, ami egy tömörített loader, és a MaskBatet, amely egy elrejtett, FakeBat-szerű loader, melyet GrayAlpha-féle stringekkel készítettek.
Három különböző útvonalon került sor a fertőzésre. Egyrészt megtévesztő böngészőfrissítések használatával – hamisított oldalakra csalogatva – másrészt hamis 7‑Zip letöltő portálokon keresztül, harmadrészt pedig egy eddig nem dokumentált Traffic Distribution System (TDS) használatával, TAG-124 néven. Mindezek ellenére a vizsgálat idején aktívak még a hamis 7‑Zip oldalak, akár 2025 áprilisában is regisztrált új domainekkel.
A GrayAlpha-fertőzési lánc szerint a modern támadó szereplők több csatornát és komplex moduláris eszközöket is használnak a hatékony behatoláshoz. A PowerNet loader a NetSupport RAT letöltését és futtatását szolgálja, amely egy jól ismert, távoli hozzáférést biztosító malware. A szakértők javasolják az alkalmazásengedélyezési listák (application allow-lists) használatát a letöltött végrehajtható fájlok korlátozására, a felhasználói tudatosság erősítését a gyanús viselkedés észlelésére – például nem várt böngészőfrissítések vagy átirányítások esetén, valamint a YARA-szabályok és Hunting-folyamatok rendszeres frissítését a fertőzési jelek felismerésére.
A GrayAlpha/FIN7 továbbra is fejlett, többcsatornás behatolási stratégiát folytat, kombinálva egyedi loader-modulokat, TDS rendszerek használatát és trükkös portálokat. A védekezésnek ehhez adaptívnak – technológiailag és oktatási szinten is – naprakésznek kell lennie, hogy hatékonyan felismerje és blokkolja a többfázisú fertőzéseket.
