FIN7グループ、セキュリティバイパスツールをダークウェブフォーラムで宣伝
The Hacker News – Jul 17, 2024
金銭的動機を持つ脅威アクターFIN7が、あるツールを宣伝するために、複数のアンダーグラウンドフォーラムで異なるハンドルネームを使用していることが確認されている。
SentinelOneがThe Hacker Newsと共有したレポートによると、FIN7が開発したこのツール「AvNeutralizer」(別名AuKill)はセキュリティソリューションを改ざんするのに大きく特化したツールで、初期のものはBlack Bastaランサムウェアグループにより独占的に使われていた。しかしその後何度かアップデートされるとともに、複数のランサムウェアグループによって使用されるようになっているという。
AvNeutralizerの新たなバージョンでは複数の分析回避テクニックが採用されているほか、Process ExplorerドライバとWindowsのビルトインドライバProcLaunchMon.sysを用いてセキュリティソリューションの機能を改ざんし、検知を回避するというこれまで確認されていなかった技法も使われているようだ。
SentinelLabの研究者によると、これまでのAVシステムと比べて最近のEDRソリューションの保護機能が向上していることがAvNeutralizerを販売する動機になっている可能性があり、セキュリティソリューションの防御性能が強化されるにつれて、とりわけランサムウェアオペレーター間でこういったツールの需要が高まるとのこと。攻撃者が強化された保護装置をバイパスすることはさらに困難になっているため、このようなツールの価値および売値は非常に高くなっているという。