Il gruppo di cybercriminali FIN7, noto anche come Carbon Spider, ELBRUS, Gold Niagara, Sangria Tempest e Savage Ladybug, è stato collegato a un backdoor scritto in Python chiamato Anubis (da non confondere con l’omonimo trojan bancario per Android). Questo malware consente ai criminali di ottenere accesso remoto ai sistemi Windows compromessi, eseguendo comandi da shell […]
Il gruppo di cybercriminali FIN7, noto anche come Carbon Spider, ELBRUS, Gold Niagara, Sangria Tempest e Savage Ladybug, è stato collegato a un backdoor scritto in Python chiamato Anubis (da non confondere con l’omonimo trojan bancario per Android). Questo malware consente ai criminali di ottenere accesso remoto ai sistemi Windows compromessi, eseguendo comandi da shell e altre operazioni di sistema.
Secondo un rapporto della società svizzera di cybersecurity PRODAFT, Anubis fornisce agli attaccanti un controllo totale sui dispositivi infetti, consentendo l’esecuzione di comandi remoti e la manipolazione del sistema. Negli ultimi anni, FIN7 si è evoluto in un gruppo affiliato al ransomware, ampliando continuamente il proprio arsenale di malware per ottenere accesso iniziale ai sistemi e sottrarre dati sensibili.
Nel luglio 2024, FIN7 è stato osservato promuovere sotto diversi pseudonimi uno strumento chiamato AuKill (o AvNeutralizer), progettato per disattivare software di sicurezza, suggerendo una diversificazione delle sue strategie di monetizzazione.
Diffusione e Funzionamento del Backdoor Anubis
Anubis si diffonde principalmente tramite campagne di malspam, inducendo le vittime a eseguire un payload ospitato su siti SharePoint compromessi. Il malware viene distribuito in un archivio ZIP contenente uno script Python che decifra ed esegue direttamente in memoria il payload principale, offuscato per eludere i sistemi di rilevamento.
Una volta attivato, Anubis stabilisce una connessione con un server remoto attraverso un socket TCP codificato in Base64. I comandi ricevuti dal server consentono agli attaccanti di:
Un’analisi indipendente condotta dalla società tedesca di sicurezza GDATA ha inoltre rivelato che Anubis può eseguire comandi da shell inviati dagli operatori malevoli. Questo permette loro di attivare keylogger, acquisire screenshot e sottrarre credenziali, senza dover includere queste funzionalità direttamente nel codice del malware, riducendo così la probabilità di rilevamento.
Conclusione
Con l’adozione di tecniche sempre più sofisticate, FIN7 continua a essere una delle minacce informatiche più pericolose. Strumenti come Anubis evidenziano l’importanza di implementare misure di sicurezza avanzate per proteggere reti e sistemi aziendali.
Tootech Lab segue da vicino le ultime evoluzioni delle minacce informatiche e le migliori strategie di difesa. Per approfondire le tematiche legate alla cybersecurity, continuate a seguirci sul nostro blog.
Hai trovato interessante questo articolo? Seguici su LinkedIn per leggere altri contenuti esclusivi che pubblichiamo.
