FIN7 APT组织在暗网论坛上宣传防EDR攻击工具

“AvNeutralizer（又名AuKill）是FIN7 开发的一款高度专业化的工具，用于篡改安全解决方案，已在地下犯罪市场上出售，并被多个勒索软件组织使用。”

FIN7 攻击者在黑客论坛上出售AVNeutralizer

FIN7 是一个起源于俄罗斯和乌克兰的网络犯罪组织，自2012 年以来一直是全球的持续威胁，其最初目标主要集中在金融欺诈以及借记卡和信用卡盗窃。后来，它转变为现已解散的勒索软件团伙（如REvil 和Conti）的附属机构，然后推出了自己的勒索软件程序DarkSide 和BlackMatter。

FIN7 以复杂的网络钓鱼和工程攻击而闻名，旨在获得对企业网络的初始访问权限，包括冒充百思买发送恶意USB 密钥以及开发自定义恶意软件和工具。

为了扩大攻击范围，他们创建了一家名为Bastion Secure 的虚假安全公司，聘请渗透测试人员和开发人员进行勒索软件攻击，而申请人不知道他们的工作如何被利用。

该APT 组织被世界各地不同的安全研究组织跟踪，名称包括Carbanak、Carbon Spider、Gold Niagara 和Sangria Tempest（以前称为Elbrus）。它设立了Combi Security、Bastion Secure等幌子公司，以渗透测试为借口招募不明人员。参与勒索软件计划的不安全软件工程师。

多年来，FIN7 通过重组其恶意软件库——POWERTRASH、DICELOADER（又名IceBot、Lizar 或Tirion）以及通过POWERTRASH 加载程序提供的渗透测试工具Core Impact，展示了高度的适应性、复杂性和技术专长。

2023 年Sophos 报告详细介绍了AvNeutralizer/AuKill 如何滥用合法的SysInternals Process Explorer 驱动程序来终止设备上运行的防病毒进程。

FIN7 声称该工具可用于杀死任何防病毒/EDR 软件，包括Windows Defender 以及Sophos、SentinelOne、Panda、Elastic 和Symantec 的产品。

SentinelOne 现在发现FIN7 已更新AVNeutralizer，以利用Windows ProcLaunchMon.sys 驱动程序挂起进程，使其不再正常运行。

SentinelOne 发现FIN7 使用的其他自定义工具和恶意软件尚未出售给其他黑客组织：

Powertrash（PowerShell后门）、Diceloader（轻量级C2控制后门）、Core Impact（渗透测试工具包）和基于SSH的后门。

研究人员警告说，FIN7 在工具和技术方面的持续开发和创新，以及其软件的销售，对世界各地的企业构成了重大威胁。

SentinelOne 研究员Antonio Cocomazzi 总结道：“FIN7 的持续创新，尤其是其规避安全措施的复杂技术，展现了其技术专长。”

SentinelOne 的新调查结果显示，FIN7 不仅在网络犯罪论坛上使用多个角色来促进AvNeutralizer 的销售，而且还在通过新功能改进该工具。

FIN7 始终致力于开发和使用复杂的工具来开展自己的业务，向其他网络犯罪分子出售工具可以被视为其手段多样化和产生额外收入的自然演变。

FIN7 一直在利用地下市场来创收。例如，美国司法部报告称，自2015 年以来，FIN7 已成功窃取了超过1600 万张支付卡的数据，其中许多在地下市场上出售。虽然这种情况在勒索软件时代之前更为常见，但AvNeutralizer 当前的广告可能标志着其活动的转变或扩大。

与以前的AV 系统相比，流行的EDR 解决方案提供了不断增强的保护。随着这些防御措施的改进，对AvNeutralizer 等攻击工具的需求显着增长，尤其是勒索软件运营商。攻击者现在在绕过这些保护方面面临更大的挑战，使得此类工具非常有价值且昂贵。

就其本身而言，AvNeutralizer 的更新版本采用了反分析技术，最重要的是，利用名为“ProcLaunchMon.sys”的Windows 内置驱动程序与Process Explorer 驱动程序结合来篡改安全解决方案的功能并逃避检测。据信该工具自2022 年4 月以来一直在积极开发。

Lazarus Group 使用了该方法的类似版本，这使其更加危险，因为它超越了传统的自带漏洞驱动程序(BYOVD)，将Windows 计算机中默认存在的易受攻击的驱动程序武器化。攻击。

另一个值得注意的更新涉及FIN7 的Checkmarks 平台，该平台经过修改，包含一个自动SQL 注入攻击模块，用于利用面向公众的应用程序。

SentinelOne表示：“FIN7在攻击活动中采用了自动化攻击手段，通过自动化SQL注入攻击针对面向公众的服务器。此外，它还在地下犯罪论坛中开发并商业化了AvNeutralizer等专门工具，大大增强了该组织的影响力。”

新闻链接：

https://thehackernews.com/2024/07/fin7-group-advertises-security.html

https://www.bleepingcomputer.com/news/security/notorious-fin7-hackers-sell-edr-killer-to-other-threat-actors/

用户评论

滴在键盘上的泪

这个FIN7组织的手段真是越来越高明了，听说他们还在暗网论坛上推销防EDR工具，我们得提高警惕啊。

    有12位网友表示赞同！

淡抹丶悲伤

暗网论坛上又出现新的攻击工具，这FIN7真是无处不在，保护企业网络安全得加把劲了。

    有16位网友表示赞同！

封锁感觉

EDR技术越来越普及，FIN7还敢在暗网上推销防EDR工具，看来他们也不怕被曝光。

    有11位网友表示赞同！

微信名字

FIN7的宣传太低调了，这种防EDR工具真的有效吗？企业该如何应对这样的威胁呢？

    有6位网友表示赞同！

ヅ她的身影若隐若现

听说FIN7在暗网上卖防EDR工具，这让我想起了那句老话，防人之心不可无。

    有13位网友表示赞同！

纯真ブ已不复存在

EDR攻击工具的宣传让我对FIN7的实力有了新的认识，看来他们的攻击手段又升级了。

    有17位网友表示赞同！

゛指尖的阳光丶

暗网上的防EDR工具，感觉就像是一场猫捉老鼠的游戏，谁先抓住谁就赢了。

    有16位网友表示赞同！

作业是老师的私生子

企业如果买了FIN7的防EDR工具，那岂不是自投罗网？这种做法真的靠谱吗？

    有12位网友表示赞同！

陌潇潇

FIN7在暗网上的宣传，是不是意味着他们已经拥有了破解EDR技术的秘密武器？

    有6位网友表示赞同！

短发

EDR技术发展迅速，FIN7却在暗网推销防EDR工具，这背后是不是有什么不可告人的秘密？

    有10位网友表示赞同！

┲﹊怅惘。

这个标题让我想起了那些年被EDR技术困扰的日子，现在FIN7又来推销防EDR工具，真是让人头疼。

    有19位网友表示赞同！

冷眼旁观i

暗网上的防EDR工具，听起来像是给黑客们开的绿灯，我们该如何防范这种威胁呢？

    有6位网友表示赞同！

情深至命

FIN7在暗网上推销防EDR工具，这是不是意味着EDR技术已经无法完全抵御APT攻击了？

    有20位网友表示赞同！

陌離

企业应该加强网络安全意识，不要轻信暗网上的防EDR工具，以免造成更大的损失。

    有19位网友表示赞同！

蝶恋花╮

这个FIN7组织的活动真是越来越频繁，他们在暗网上宣传防EDR工具，是不是意味着网络安全形势越来越严峻？

    有10位网友表示赞同！

窒息

EDR技术虽然强大，但FIN7的防EDR工具是否能抵挡住APT攻击，还有待观察。

    有16位网友表示赞同！

坏小子不坏

暗网上的防EDR工具，让人不禁怀疑其安全性，企业该如何选择呢？

    有9位网友表示赞同！

荒野情趣

FIN7在暗网上推销防EDR工具，看来网络安全战已经进入了新的阶段。

    有5位网友表示赞同！

凉凉凉”凉但是人心

这个标题让我想起了之前的网络攻击，FIN7的防EDR工具，是否能成为企业的最后一道防线？

    有11位网友表示赞同！

巷陌繁花丶

EDR技术是保护企业网络安全的重要手段，但FIN7的防EDR工具，是不是又给黑客们提供了新的机会？

    有13位网友表示赞同！