Nel panorama della sicurezza informatica, il gruppo cybercriminale FIN7 continua a rappresentare una minaccia significativa. Recentemente, è stato collegato a un nuovo malware backdoor basato su Python, noto come Anubis, che consente di ottenere un accesso remoto completo ai sistemi Windows compromessi. Questa minaccia informatica, diversa dall'omonimo trojan bancario Android, è stata oggetto di un'analisi tecnica da parte della società di cybersecurity svizzera PRODAFT. Secondo il rapporto, Anubis permette agli attaccanti di eseguire comandi di shell remoti e altre operazioni di sistema, garantendo loro il pieno controllo delle macchine infette.

Il gruppo FIN7

Il gruppo FIN7, noto anche come Carbon Spider, ELBRUS, Gold Niagara, Sangria Tempest e Savage Ladybug, è una delle più temute organizzazioni di crimine informatico russo. È noto per il suo continuo sviluppo ed espansione di famiglie di malware per ottenere accesso iniziale ai sistemi e per esfiltrazione dati. Negli ultimi anni, il gruppo sembra essersi evoluto verso un modello di affiliazione con ransomware, aumentando la sua capacità di monetizzazione.

Nel luglio 2024, FIN7 è stato osservato promuovere uno strumento chiamato AuKill, capace di terminare strumenti di sicurezza, suggerendo un tentativo di diversificazione delle sue strategie di monetizzazione. Anubis, invece, viene diffuso tramite campagne di malspam che ingannano le vittime inducendole ad eseguire il payload ospitato su siti SharePoint compromessi. Il processo d'infezione inizia con un archivio ZIP contenente uno script Python progettato per decriptare ed eseguire il payload principale direttamente in memoria. Una volta attivato, il backdoor stabilisce comunicazioni con un server remoto utilizzando un socket TCP in formato codificato Base64.

Le risposte dal server, anch'esse codificate in Base64, consentono al malware di raccogliere l'indirizzo IP dell'host, caricare e scaricare file, modificare la directory di lavoro corrente, recuperare variabili d'ambiente, alterare il Registro di Windows, caricare file DLL in memoria e terminare il processo stesso. Un'analisi indipendente del malware da parte della società di sicurezza tedesca GDATA ha rivelato che Anubis supporta anche la capacità di eseguire comandi shell forniti dall'operatore sul sistema della vittima.

Questa architettura leggera massimizza la furtività riducendo il rischio di rilevamento, permettendo nel contempo una notevole flessibilità per ulteriori azioni malevole. FIN7, attraverso lo sviluppo di strumenti come Anubis, continua a dimostrare la sua abilità nel creare software sofisticati e difficili da rilevare, rappresentando una sfida significativa per le difese della sicurezza informatica.